Учебник для вузов
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Рекомендовано Министерством образования Российской Федерации в качестве учебника для студентов высших учебных заведений, обучающихся по гуманитарным и социальноэкономическим специальностям
Москва Гаудеамус 2004
Москва Академический Проект 2004
УДК ББК
002—004 73—32.97 Я76
Обсуждено отделением «Методологии и моделирования безопасного развития системы процессов» Российской Академии естественных наук и одобрено к публикации Президиумом РАЕН Рецензенты: Начальник факультета информационной безопасности ИКСИ кандидат технических наук С.Н.Смирнов Действительный член Международной академии информатизации доктор технических наук профессор А. В. Петраков Действительный член Международной академии информатизации доктор социологических наук профессор Г. А. Кабакович Отв. редактор — кандидат военных наук Л.И. Филиппенко
Я76
Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. — М.: Академический Проект; Гаудеамус, 2-е изд.— 2004. — 544 с. (Gaudeamus). ISBN 5-8291-0408-3 (Академический Проект) ISBN 5-98426-008-5 (Гаудеамус) В современном информационном обществе информация превратилась в особый ресурс любой деятельности, следовательно, как и всякий другой ресурс, нуждается в защите, в обеспечении ее сохранности, целостности и безопасности. Кто и как угрожает информационной безопасности и как этим угрозам противодействовать, вы узнаете, прочитав эту книгу. Учебник рассчитан на студентов высших учебных заведений, институтов повышения квалификации и школ подготовки специалистов, изучающих проблемы защиты конфиденциальной информации. УДК ББК
ISBN 5-8291-0408-3 ISBN 5-98426-008-5
002—004 73—32.97
© Ярочкин В.И., 2003 ©Академический Проект, оригиналмакет, оформление, 2004 © Гаудеамус, 2004
• Введение Примечательная особенность нынешнего периода — переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергетические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и которые при необходимости могут быть использованы для достижения конкретных целей хозяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие «информационные ресурсы», и хотя оно узаконено, но осознано пока еще недостаточно. В приводимой литературе так излагается это понятие: «Информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах)». Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для производства товаров и услуг, но и
превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации — весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами. Особое место отводится информационным ресурсам в условиях рыночной экономики. Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и оперативнее (время— деньги!) производит и продает. В сущности это универсальное правило рынка. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа. В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место. При этом «целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обес-
печение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения». Как видно из этого определения целей защиты, информационная безопасность — довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита. Основное внимание автор уделил защите конфиденциальной информации, с которой большей частью и встречаются предприниматели негосударственного сектора экономики. Автор вполне осознает и отдает себе отчет в сложности проблемы защиты информации вообще, и с помощью технических средств в частности. Тем не менее свой взгляд на эту проблему он излагает в этой книге, считая, что этим он охватывает не все аспекты сложной проблемы, а лишь определенные ее части.
Грядущий XXI век будет веком торжества теории и практики информации — информационным веком.
Глава 1 КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Что храним, то и имеем
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств». (Закон РФ «Об участии в международном информационном обмене»)
Постулаты 1. Информация — это всеобщее свойство материи. 2. Любое взаимодействие в природе и обществе основано на информации. 3. Всякий процесс совершения работы есть процесс информационного взаимодействия. 4. Информация — продукт отражения действительности. 5. Действительность отражается в пространстве и времени. 6. Ничего не происходит из ничего. 7. Информация сохраняет свое значение в неизменном виде до тех пор, пока остается в неизменном виде носитель информации — ПАМЯТЬ. 8. Ничто не исчезает просто так. Понятие «информация» сегодня употребляется весьма широко и разносторонне. Трудно найти такую область знаний, где бы оно не использовалось. Огромные информационные потоки буквально захлестыва-
Концепция информационной Оезопасности ют людей. Объем научных знаний, например, по оценке специалистов,, удваивается каждые пять лет. Такое положение приводит к заключению, что XXI век будет веком торжества теории и практики ИНФОРМАЦИИ — информационным веком. Правомерно задать вопрос: что же такое информация? В литературе дается такое определение: информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Известно, что информация может иметь различную форму, включая данные, заложенные в компьютерах, «синьки», кальки, письма или памятные записки, досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судебные документы и другое. Как и всякий продукт, информация имеет потребителей, нуждающихся в ней, и потому обладает определенными потребительскими качествами, а также имеет и своих обладателей или производителей. С точки зрения потребителя, качество используемой информации позволяет получать дополнительный экономический или моральный эффект. С точки зрения обладателя — сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства и сбыта товаров и услуг. Это, естественно, требует определенных действий, направленных на защиту конфиденциальной информации. Понимая под безопасностью состояние защищенности жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз, можно выделить и компоненты безопасности — такие, как персонал, материальные и финансовые средства и информацию.
• 1.1. Основные концептуальные положения системы защиты информации Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:
Глава 1 • весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе; • значительное число фирм, специализирующихся на решении вопросов защиты информации; • достаточно четко очерченная система взглядов на эту проблему; • наличие значительного практического опыта и другое. И тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса. Опыт также показывает, что: • обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий; в безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм — систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий; • никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей
КОНЦЕПЦИЯ
информационной безопасности
МАТЕРИАЛЬНЫЕ И ФИНАНСОВЫЕ РЕСУРСЫ
подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту (рис. 1). С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз. С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть: • непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
Глава \
10
в плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации); • целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд; • конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб; в активной. Защищать информацию необходимо с достаточной степенью настойчивости; • надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены; в универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации; в комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита — это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций. Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям: в охватывать весь технологический комплекс информационной деятельности;
быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа; • быть открытой для изменения и дополнения мер обеспечения безопасности информации; • быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей; • быть простой для технического обслуживания и удобной для эксплуатации пользователями; • быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации; • быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы. К системе безопасности информации предъявляются также определенные требования: • четкость определения полномочий и прав пользователей на доступ к определенным видам информации; • предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы; • сведение к минимуму числа общих для нескольких пользователей средств защиты; • учет случаев и попыток несанкционированного доступа к конфиденциальной информации; • обеспечение оценки степени конфиденциальной информации; • обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь: • правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия;
Глава
1
• организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и другими; • аппаратное обеспечение. Предполагается широкое использование технических средств как для защиты информации, так и для обеспечения деятельности собственно СЗИ; • информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности; программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации; математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты; • лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации; • нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации. Под системой безопасности будем понимать организованную совокупность специальных органов,
Концепция информационной безопасности служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз (рис. 2). Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий. Удовлетворить современные требования по обеспечению безопасности предприятия и защиты его конфиденциальной информации может только система безопасности.
• 1.2. Концептуальная модель информационной безопасности Понимая информационную безопасность как «состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций», правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба. Практика показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы «заместитель» реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности. Можно предложить компоненты модели информационной безопасности на первом уровне декомпозиции. По нашему мнению, такими компонентами концептуальной модели безопасности информации могут быть следующие:
13
Рис. 2
Концепция информационной безопасности объекты угроз; угрозы; источники угроз; цели угроз со стороны злоумышленников; источники информации; способы неправомерного овладения конфиденциальной информацией (способы доступа); направления защиты информации; способы защиты информации; средства защиты информации. Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов). Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности. Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба (рис. 3). Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям. Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная и инженернотехническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности. Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние
Глава 1 могут быть реализованы как аппаратно, программно, так и смешанно-программно-аппаратными средствами. В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу. В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведены на следующей схеме (рис. 4). Основные элементы концептуальной модели будут рассмотрены более подробно в следующих разделах книги. Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз.
• 1.3. Угрозы конфиденциальной информации Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. Такими действиями являются: • ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности; • модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений; • разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба. В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности (рис. 5), что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации.
Концепция информационной безопасности Каждая угроза влечет за собой определенный ущерб — моральный или материальный, а защита и противодействие угрозе призваны снизить его величину, в идеале — полностью, реально — значительно или хотя бы частично. Но и это удается далеко не всегда. С учетом этого угрозы могут быть классифицированы по следующим кластерам (рис. 6): —по величине принесенного ущерба: • предельный, после которого фирма может стать банкротом; • значительный, но не приводящий к банкротству; • незначительный, который фирма за какое-то время может компенсировать. —по вероятности возникновения: • весьма вероятная угроза; • вероятная угроза; • маловероятная угроза. —по причинам появления: • стихийные бедствия; • преднамеренные действия. —по характеру нанесенного ущерба: • материальный; • моральный; —по характеру воздействия: • активные; • пассивные. —по отношению к объекту: • внутренние; • внешние. Источниками внешних угроз являются: • недобросовестные конкуренты; • преступные группировки и формирования; • отдельные лица и организации административноуправленческого аппарата. Источниками внутренних угроз могут быть: • администрация предприятия; • персонал; • технические средства обеспечения производственной и трудовой деятельности. Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:
_
Глава 1 • 82% угроз совершается собственными сотрудниками фирмы при их прямом или опосредованном участии; • 17% угроз совершается извне — внешние угрозы; • 1% угроз совершается случайными лицами. Угроза — это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.
• 1.4. Действия, приводящие к неправомерному овладению конфиденциальной информацией Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации: • владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения; • источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое; • промежуточная ситуация — это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах. В общем факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации (рис. 7).
Глава 1 1. Разглашение— это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т. д.). Неформальные коммуникации включают личное общение (встречи, переписка), выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видеомониторинг). 2. Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энер-
Концепция информационной безопасности гией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации. 3. Несанкционированный доступ — это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения — стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников. Такой подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность уг-
Глава 1 роз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности. С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной информацией. В литературе (Ярочкин В.И. Предприниматель и безопасность. В 2-х ч.) указываются следующие условия: • разглашение (излишняя болтливость сотрудников) — 32%; • несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок-— 24%; • отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности — 14%; • традиционный обмен производственным опытом — 12%; • бесконтрольное использование информационных - систем — 10%; • наличие предпосылок возникновения среди сотрудников конфликтных ситуаций — 8%; а также отсутствие высокой трудовой дисциплины, психологическая несовместимость, случайный подбор кадров, слабая работа службы кадров по сплочению коллектива. Среди форм и методов недобросовестной конкуренции находят наибольшее распространение: • экономическое подавление, выражающееся в срыве сделок и иных соглашений (48%), парализации деятельности фирмы (31%), компрометации фирмы (11%), шантаже руководителей фирмы (10%); • физическое подавление: ограбления и разбойные нападения на офисы, склады, грузы (73%), угрозы физической расправы над руководителями фирмы и ведущими специалистами (22%), убийства и захват заложников (5%); • информационное воздействие: подкуп сотрудников (43%), копирование информации (24%), проникновение в базы данных (18%), продажа конфиденциальных документов (10%), подслушивание телефонных переговоров и переговоров в поме-
Концепция информационной безопасности щениях (5%), а также ограничение доступа к информации, дезинформация; • финансовое подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение финансов, мошенничество; • психическое давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энергоинформационного воздействия. Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия. Совокупность определений, каналов, способов и средств представляется в виде следующей схемы (рис. 8).
Выводы Изложенное в этой главе можно кратко сформулировать так. 1. Информация — это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб. 2. Условия, способствующие неправомерному овладению конфиденциальной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам. 3. В современных условиях безопасность информационных ресурсов может быть обеспечена только комплексной системой защиты информации. 4. Комплексная система защиты информации должна быть: непрерывной, плановой, целенаправленной, конкретной, активной, надежной. 5. Система защиты информации должна опираться на систему видов собственного обеспечения, способного реализовать ее функционирование не только в повседневных условиях, но и в критических ситуациях.
Глава 1 КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ
РАЗГЛАШЕНИЕ
УТЕЧКА
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП
Каналы распространения
Каналы утечки
Каналы проникновения
Способы пресечения
Способы защиты
Способы противодействия
Средства пресечения
Средства защиты
Средства противодействия
Рис. 8
Глава 2 НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Подальше положишь — поближе возьмешь
Направления обеспечения информационной безопасности — это нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз. Постулаты безопасности 1. Если не уверен в безопасности, считай, что опасность существует реально. 2. Безопасности бесплатной не бывает. 3. Безопасности не бывает много. 4. Безопасность должна быть только комплексной. 5. Комплексная безопасность может быть обеспечена только системой безопасности. 6. Никакая система безопасности не обеспечивает требуемого уровня без надлежащей подготовки руководителей, сотрудников и клиентов. 7. В безопасности должен быть заинтересован каждый. Направления обеспечения безопасности вообще рассматриваются как нормативно-правовые категории, определяющие комплексные меры защиты информации на государственном уровне, на уровне предприятия и организации, на уровне отдельной личности. С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации: 28
I
Направления обеспечения информационной безопасности
|
• правовая защита — это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе; • организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба исполнителям; • инженерно-техническая защита — это использование различных технических средств, препятствующих нанесению ущерба коммерческой деятельности (рис. 9). Кроме этого, защитные действия, ориентированные на обеспечение информационной безопасности, могут быть охарактеризованы целым рядом параметров, отражающих, помимо направлений, ориентацию на объекты защиты, характер угроз, способы действий, их распространенность, охват и масштабность (рис. 10). Так, по характеру угроз защитные действия ориентированы на защиту информации от разглашения, утечки и несанкционированного доступа. По способам действий их можно подразделить на предупреждение, выявление, обнаружение, пресечение и восстановление ущерба или иных убытков. По охвату защитные действия могут быть ориентированы на территорию, здание, помещение, аппаратуру или отдельные элементы аппаратуры. Масштабность защитных мероприятий характеризуется как объектовая, групповая или индивидуальная защита. Например, защита автономной ПЭВМ в режиме индивидуального пользования.
2.1. Правовая защита Как известно, право — это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий (организаций) и населения (отдельной личности).
Рис. 10
Направления обеспечения информационной безопасност Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита регулируется государственными и ведомственными актами (рис. 11). В нашей стране такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах. Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур (рис. 12). Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов Российской Федерации. Требования информационной безопасности должны органически включаться во все уровни законодательства, в том числе и в конституционное законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты и другие. В литературе приводится такая структура правовых актов, ориентированных на правовую защиту информации. Первый блок — конституционное законодательство. Нормы, касающиеся вопросов информатизации и защиты информации, входят в него как составные элементы. Второй блок — общие законы, кодексы (о собственности, о недрах, о земле, о правах граждан, о гражданстве, о налогах, об антимонопольной деятельности), которые включают нормы по вопросам информатизации и информационной безопасности. Третий блок — законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы 2 Безопасность
Рис. 11
Направления обеспечения информационной безопасности
|
по вопросам защиты информации. Наряду с общими вопросами информационного обеспечения и защиты информации конкретного органа эти нормы должны устанавливать его обязанности по формированию, актуализации и безопасности информации, представляющей общегосударственный интерес. Четвертый блок — специальные законы, полностью относящиеся к конкретным сферам отношений,
КОНСТИТУЦИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ ЗАКОНЫ РФ по информатизации и защите информации «Об информации, информатизации и защите информации»
«О государственной тайне»
«О коммерческой тайне»
«Об участии в международном информационном обмене»
«О правовой охране программ ЭВМ и топологии микросхем»
«Об органах государственной безопасности»
«О связи»
«Об информационном обеспечении экономического и социального развития»
«О патентах»
«Об авторском праве и смежных ттпавах»
«О страховании»
«Об архивах»
Кодекс об административных правонарушениях, гражданский и уголовный кодексы РФ
Нормативно-правовые акты и организационнораспорядительные документы
Положения, инструкции, нормативно-технические и методические документы
Рис. 12
35
Глава 2 отраслям хозяйства, процессам. В их число входит и Закон РФ «Об информации, информатизации и защите информации». Именно состав и содержание этого блока законов и создает специальное законодательство как основу правового обеспечения информационной безопасности. Пятый блок — законодательство субъектов Российской Федерации, касающееся защиты информации. Шестой блок — подзаконные нормативные акты по защите информации. Седьмой блок — это правоохранительное законодательство России, содержащее нормы об ответственности за правонарушения в сфере информатизации. Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов. В их составе особое место принадлежит базовому Закону «Об информации, информатизации и защите информации», который закладывает основы правового определения всех важнейших компонентов информационной деятельности: • информации и информационных систем; • субъектов — участников информационных процессов; • правоотношений производителей — потребителей информационной продукции; • владельцев (обладателей, источников) информации — обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства. Этот закон определяет основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Этот закон содержит, кроме того, общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса. В дополнение к базовому закону в мае 1992 г. были приняты Законы «О правовой охране программ для
Направления обеспечения информационной безопасности электронно-вычислительных машин и баз данных» и «О правовой охране топологии интегральных микросхем». Оба закона устанавливают охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права наряду с традиционными базами данных топологии интегральных микросхем и программы для ЭВМ. Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой (проект) тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 «Служебная и коммерческая тайна». 1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном . основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами. 2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим кодексом и другими законами. Вторая часть статьи 139 определяет правовые основы ответственности за несанкционированное получение информации или причинение ущерба. Звучит это так: «Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданскоправовому договору». Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной информации (см. таблицу 1).
37
Глава 2 Таблица 1 КОНФИДЕНЦИАЛЬНАЯ
ИНФОРМАЦИЯ
документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации
ЛИЧНАЯ
СУДЕБНОСЛЕДСТВЕННАЯ
Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленном порядке
Сведения, составляющие тайну следствия и судопроизводства
СЛУЖЕБНАЯ
Служебные сведения, доступ к которым ограничен, органами государственной власти (служебная тайна)
ПРОФЕССИОНАЛЬНАЯ
Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и др.)
КОММЕРЧЕСКАЯ
Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен законами (коммерческая тайна)
Сведения о сущности изобретения полезной мо1Р0ИЗВ0ДСТВЕННАЯ дели или промышленного образца до официальной публикации информации о них
Таким образом, правовая защита информации обеспечивается нормативно-законодательными акта„ п ми, представляющими собой по уровню иерархичесиО кую систему от Конституции РФ до функциональных
Направления
обеспечения
информационной
безопасности
обязанностей и контракта отдельного конкретного исполнителя, определяющих перечень сведений, подлеж а щ и х охране, и меры ответственности за их разглашение. Одним из новых для нас направлений правовой защиты является страховое обеспечение. Оно предназначено для защиты собственника информации и средств ее обработки как от традиционных угроз (кражи, стихийные бедствия), так и от угроз, возникающих в ходе работы с информацией. К ним относятся: разглашение, утечка и несанкционированный доступ к конфиденциальной информации. Целью страхования является обеспечение страховой защиты физических и юридических лиц от страховых рисков в виде полного или частичного возмещения ущерба и потерь, причиненных стихийными бедствиями, чрезвычайными происшествиями в различных областях деятельности, противоправными действиями со стороны конкурентов и злоумышленников путем выплат денежной компенсации или оказания сервисных услуг (ремонт, восстановление) при наступлении страхового события. В основе российского страхового законодательства лежит Закон РФ «О страховании». Он призван гарантировать защиту интересов страхователей, определять единые положения по организации страхования и принципы государственного регулирования страховой деятельности. Закон «О страховании» дает следующее понятие страхования: «Страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет д е н е ж н ы х фондов, формируемых из уплачиваемых ими страховых взносов». Действия по защите информации от утечки по техническим каналам регламентируются следующими правовыми документами: 1. ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет П Э М И Н при ее обработке СВТ». (ПЭМИН — побочные электромагнитные излучения и наводки.) ЗУ
Глава 2 2. ГОСТ Р 50752 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Методы испытаний». 3. Нормы эффективности и защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН. 4. Специальные требования и рекомендации по защите объектов ЭВТII и III категории от утечки информации за счет ПЭМИН. Действия по защите информации от несанкционированного доступа (НСД) регламентируют Постановление Правительства РФ от 15.09.93 № 912-51 «Положение о государственной системе защиты информации от иностранной технической разведки и от утечки по техническим каналам», а также Указы Президента РФ «О создании государственной технической комиссии при Президенте РФ» (от 05.01.92 № 9); «О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи» (от 08.05.93 № 644); «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (от 03.04.95 № 334); «Положение о государственной системе защиты информации в Российской Федерации». Правовыми документами являются и государственные стандарты на информационную деятельность с учетом обеспечения ее безопасности, в частности ГОСТ Р 50739-95 «СВТ. Защита от НСД к информации»; ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»; ГОСТ Р.34.10-94 «Процедуры выработки и проверки электронной подписи на базе асимметрического криптографического алгоритма»; ГОСТ Р.34.11-94 «Функция хэширования»; ГОСТ Р.В.50170-92 «Противодействие ИТР. Термины и определения». Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабаты-
Направления обеспечения информационной безопасности ваются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся: • Положение о сохранении конфиденциальной информации; • Перечень сведений, составляющих конфиденциальную информацию; Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию; • Положение о специальном делопроизводстве и документообороте; • Перечень сведений, разрешенных к опубликованию в открытой печати; • Положение о работе с иностранными фирмами и их представителями; • Обязательство сотрудника о сохранении конфиденциальной информации; • Памятка сотруднику о сохранении коммерческой тайны. Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия. В зависимости от характера информации, ее доступности для заинтересованных потребителей, а также экономической целесообразности конкретных защитных мер могут быть избраны следующие формы защиты информации: • патентование; • авторское право; • признание сведений конфиденциальными; • товарные знаки; • применение норм обязательственного права. В таблице 2а приводятся некоторые характеристики этих форм и анализируется взаимосвязь между ними, а в таблице 26 приведены определения и основные параметры коммерческой тайны. Существуют определенные различия между авторским правом и коммерческой тайной. Авторское пра-
Глава 2 Таблица 2а
Взаимосвязь патентов и коммерческой тайны
42
Хактеристики
Патенты
Коммерческая тайна
Объект защиты
Специфический и четко определенный документ
Применима к широкому спектру интеллектуальной собственности и деловой информации
Требования к информации
Информация должна быть: полезной, новой, неочевидной
Информация должна быть: потенциально полезной, не должна быть общеизвестной, не обязательно должна быть новой и неочевидной
Степень определенности
Четко определена в заявке
Часто трудно четко определить
Необходимость опубликования
Строго необходима. Публикуется обязательно
Любое обнародование должно быть под контролем и ограничено в неизвестной степени (храниться в тайне)
Порядок защиты
Определяется узким, но четким статусом. Предоставляется монополия
Определяется в зависимости от обстоятельств. Реализуется только от недобросовестной конкуренции
Продолжительность 15 — 20 лет с момента защиты опубликования
Практически не ограничена
Стоимость
По получению патента
Защита от утечки и использования информации другими лицами
Стоимость риска
Недействительность по истечении срока
Независимое открытие другими лицами
во защищает только форму выражения идеи. Коммерческая тайна относится непосредственно к содержанию. Авторское право защищает от копирования независимо от конфиденциальных отношений с владельцем. К авторскому праву прибегают при широкой публикации своей информации, в то время как коммерческую тайну держат в секрете. Очевидно, что по сравнению с патентом и авторским правом, коммерческая и производственная тайны являются наиболее удобными, надежными и гибкими формами защиты информации.
Направления обеспечения информационной безопасности
|
Помимо вышеизложенных форм правовой защиты и права принадлежности информации находит широкое распространение официальная передача права на пользование ею в виде лицензии. Лицензия — это разрешение, выдаваемое государством на проведение некоторых видов хозяйственной деятельности, включая внешнеторговые операции (ввоз и вывоз) и предоставление права использовать защищенные патентами изобретения, технологии, методики. Лицензионные разрешения предоставляются на определенное время и на определенные виды товаров. Таблица 26 Коммерческая тайна Коммерческая тайна — не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение, утечка и несанкционированный доступ к которой может нанести ущерб их владельцам. Определения СУБЪЕКТ ОБЪЕКТ ХАРАКТЕРИСТИКИ
ЦЕННОСТЬ ТРЕБОВАНИЯ СРОК ДЕЙСТВИЯ ЗАЩИТА
Содержание Предприятия, организации, коллективы, граждане Понятие применимо к широкому спектру интеллектуальной и промышленной собственности 1. Активный ресурс 2. Конфиденциальная информация 3. Особая форма собственности 4. Товар рыночной новизны Реально (потенциально) создает преимущества в конкурентной борьбе 1. Потенциально полезная 2. Не общеизвестная Определяется жизненным циклом товара 1. Правовая 2. Организационная 3. Инженерно-техническая
43
Глава 2 К коммерческой тайне не относятся: охраняемые государством сведения; общеизвестные на законных основаниях сведения; общедоступные сведения, патенты, товарные знаки; сведения о негативной стороне деятельности; учредительные документы и сведения о хозяйственной деятельности. На все эти формы защиты интеллектуальной собственности имеются соответствующие законы РФ — закон о патентах, закон об авторском праве, проект закона о коммерческой тайне, закон о товарных знаках и другие. Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии с вашей стороны к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся просто беспочвенными. Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (естественно, если он допущен по должностным обязанностям) в письменном виде, то сотрудник, укравший важную информацию в нарушение установленного порядка работы с ней, скорее всего разведет руками: мол, откуда мне это знать! В этом случае никакие инстанции, вплоть до судебных, не смогут Вам помочь. Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов. Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений: • предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз; • предприятие обязано обеспечить сохранность кон44 фиденциальной информации. • • • • •
Направления обеспечения информационной безопасности Такие требования дают право администрации предприятия: • создавать организационные структуры по защите конфиденциальной информации; • издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты; • включать требования по защите информации в договоры по всем видам хозяйственной деятельности; • требовать защиты интересов предприятия со стороны государственных и судебных инстанций; • распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств производства; • разработать «Перечень сведений конфиденциальной информации». Требования правовой обеспеченности защиты информации предусматриваются в коллективном договоре. Коллективный договор должен содержать следующие требования: Раздел «Предмет договора» Администрация предприятия (в том числе и администрация самостоятельных подразделений) обязуется обеспечить разработку и осуществление мероприятий по определению и защите конфиденциальной информации. Трудовой коллектив принимает на себя обязательства по соблюдению установленных на предприятии требований по защите конфиденциальной информации. Администрация обязана учесть требования защиты конфиденциальной информации в правилах внутреннего распорядка. Раздел «Кадры. Обеспечение дисциплины труда» Администрация обязуется: нарушителей требований по защите коммерческой тайны привлекать к административной и уголовной ответственности в соответствии с действующим законодательством.
45
Глава 2 Правила внутреннего трудового распорядка для рабочих и служащих предприятия целесообразно дополнить следующими требованиями. Раздел «Порядок приема и увольнения рабочих и служащих» • При поступлении рабочего или служащего на работу или переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией предприятия, а также при увольнении администрация обязана проинструктировать работника или служащего по правилам сохранения коммерческой тайны с оформлением письменного обязательства о ее неразглашении. • Администрация предприятия вправе принимать решение об отстранении от работ лиц, которые нарушают установленные требования по защите конфиденциальной информации. Раздел «Основные обязанности рабочих и служащих» Рабочие и служащие обязаны соблюдать требования нормативных документов по защите конфиденциальной информации предприятия. Раздел «Основные обязанности администрации» Администрация предприятия, руководители подразделений обязаны: • обеспечить строгое сохранение конфиденциальной информации, постоянно осуществлять организаторскую и воспитательно-профилактическую работу, направленную на защиту секретов предприятия; • включить в должностные инструкции и положения обязанности по сохранению конфиденциальной информации; • неуклонно выполнять требования Устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других организационных и хозяйственных документов в части обеспечения экономической и информационной безопасности. Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обя-
Направления обеспечения информационной безопасности зательно должны быть оговорены в трудовом договоре (контракте). В соответствии с КЗоТ (гл. III) при заключении трудового договора трудящийся обязуется выполнять определенные требования, действующие на данном предприятии. Независимо от формы заключения договора (устного или письменного) подпись трудящегося на приказе о приеме на работу подтверждает его согласие с условиями договора (КЗоТ РФ ст. 18). Требования по защите конфиденциальной информации могут быть оговорены в тексте договора, если договор заключается в письменной форме. Если же договор заключается в устной форме, то действуют требования по защите информации, вытекающие из нормативно-правовых документов предприятия. При заключении трудового договора и оформлении приказа о приеме на работу нового сотрудника делается отметка об осведомленности его с порядком защиты информации предприятия. Это создает необходимый элемент включения данного лица в механизм обеспечения информационной безопасности. Использование договоров о неразглашении тайны — вовсе не самостоятельная мера по ее защите. Не следует думать, что после подписания такого соглашения с новым сотрудником тайна будет сохранена. Это только предупреждение сотруднику, что в дело вступает система мероприятий по защите информации, и правовая основа к тому, чтобы пресечь его неверные или противоправные действия. Дальше задача — не допустить утраты коммерческих секретов. Реализация правовых норм и актов, ориентированных на защиту информации на организационном уровне, опирается на те или иные организационно-правовые формы, к числу которых относятся соблюдение конфиденциальности работ и действий, договоры (соглашения) и различные формы обязательного права. Конфиденциальность — это форма обращения со сведениями, составляющими коммерческую тайну, на основе организационных мероприятий, исключающих неправомерное овладение такими сведениями. Договоры — это соглашения сторон (двух и более лиц) об установлении, изменении или прекращении взаимных обязательств.
ОРГАНИЗАЦИОННО-ПРАВОВЫЕ ЗАЩИТЫ КОММЕРЧЕСКОЙ
-
Перечень сведений с КТ Разрешительная система Допускная система Специальное делопроизводство
t
ФОРМЫ ТАЙНЫ
-Коллективный договор -Трудовые договоры -Договоры о совместной деятельности
-Должностные обязанности -Подписки о неразглашении конфиденциальной информации - Обязательства при совместной деятельности
Направления обеспечения информационной безопасности Обязательство — гражданское правоотношение, в силу которого одна сторона (должник) обязана совершить в пользу другой стороны определенные действия (рис. 13). Правовое регулирование необходимо для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления задач и правомочий отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организаций. Анализ законодательства, регулирующего деятельность субъектов в сфере информационной безопасности, показывает наличие определенных недостатков. Существующие правовые нормы разбросаны по различным нормативным актам, издававшимся в разное время, в разных условиях и на разных уровнях. Действующее законодательство не систематизировано, что создает большие трудности в его использовании на практике. Правовые меры обеспечения безопасности и защиты информации являются основой порядка деятельности и поведения сотрудников предприятия и определяют меры их ответственности за нарушение установленных норм.
2.2. Организационная защита Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает: • организацию охраны, режима, работу с кадрами, с документами; • использование технических средств безопасности и информационно-аналитическую деятельность 40
Глава 2 по выявлению внутренних и внешних угроз предпринимательской деятельности. Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации. К основным организационным мероприятиям можно отнести: • организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.; • организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.; • организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
Направления
обесценения
информационной
безопасности
• организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации; • организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты; • организацию работы по проведению систематического контроля за работой персонала с к о н ф и денциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей (рис. 14). В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях. Специфической областью организационных мер является организация защиты ПЭВМ, информационных систем и сетей. О р г а н и з а ц и я з а щ и т ы ПЭВМ, и н ф о р м а ц и о н н ы х систем и сетей определяет порядок и схему функционирования основных ее подсистем, использование устройств и р е с у р с о в , в з а и м о о т н о ш е н и я пользователей между собой в соответствии с нормативноп р а в о в ы м и т р е б о в а н и я м и и п р а в и л а м и . З а щ и т а информации на основе организационных мер играет большую роль в о б е с п е ч е н и и н а д е ж н о с т и и э ф ф е к тивности, так к а к н е с а н к ц и о н и р о в а н н ы й доступ и утечка и н ф о р м а ц и и ч а щ е всего обусловлены злоумышленными действиями, небрежностью пользователей или персонала. Эти ф а к т о р ы п р а к т и ч е с к и нев о з м о ж н о исключить или локализовать с п о м о щ ь ю аппаратных и п р о г р а м м н ы х средств, к р и п т о г р а ф и и и физических средств защиты. Поэтому совокупность организационных, организационно-правовых и организационно-технических мероприятий, применяемых совместно с техническими методами, имеют цель исключить, у м е н ь ш и т ь или п о л н о с т ь ю у с т р а н и т ь потери п р и д е й с т в и и р а з л и ч н ы х н а р у ш а ю щ и х ф а к торов. Организационные средства защиты ПЭВМ и информационных сетей применяются:
ОРГАНИЗАЦИОННАЯ
ЗАЩИТА
- это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией
Организацию режима и охраны
Организацию работы с сотрудниками
Организацию работы с документами
Рис. 14
Организацию использования технических средств
Организацию работы по анализу внутренних и внешних угроз
Направления обеспечения информационной безопасности • при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.; • при подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.; • при хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.); • при соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых про-: изводственных документов); • при внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требованиям защиты, документальное оформление изменений и др.); • при подготовке и контроле работы пользователей. Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера. Очевидно, что организационные мероприятия должны четко планироваться, направляться и осуществляться какой-то организационной структурой, какимто специально созданным для этих целей структурным подразделением, укомплектованным соответствующи-
3d
Глава 2 ми специалистами по безопасности предпринимательской деятельности и защите информации. Зачастую таким структурным подразделением является служба безопасности предприятия (фирмы, организации), на которую возлагаются следующие общие функции: • организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации; • обеспечение пропускного и внутриобъектового режима на территории, в зданиях и помещениях, контроль соблюдения требований режима сотрудниками, смежниками, партнерами и посетителями; • руководство работами по правовому и организационному регулированию отношений по защите информации; • участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации, а ' также положений о подразделениях, трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих; • разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения; при всех видах работ организация и контроль выполнения требований «Инструкции по защите конфиденциальной информации»; • изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведения учета и анализа нарушений режима безопасности, накопление и анализ данных о злоумышленных устремлениях конкурентной и других организаций, о деятельности предприятия и его клиентов, партнеров, смежников; • организация и проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки конфиденциальной информа-
Направленна обеспечения информационной безопасности ции и других нарушений безопасности предприятия; • разработка, ведение, обновление и пополнение «Перечня сведений конфиденциального характера» и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации; • обеспечение строгого выполнения требований нормативных документов по защите производственных секретов предприятия; • осуществление руководства службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и другими структурами в части оговоренных в договорах условий по защите конфиденциальной информации; • организация и регулярное проведение учета сотрудников предприятия и службы безопасности по всем направлениям защиты информации и обеспечения безопасности производственной деятельности; • ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охраняемых секретов; • обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны внутренних и внешних угроз; • поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне) и оказания взаимной помощи в кризисных ситуациях. Служба безопасности является самостоятельной организационной единицей предприятия, подчиняющейся непосредственно руководителю предприятия. Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности. Организационно служба безопасности состоит из следующих структурных единиц:
Глава 2 • подразделения режима и охраны; • специального подразделения обработки документов конфиденциального характера; • инженерно-технических подразделений; • информационно-аналитических подразделений. В таком составе служба безопасности способна обеспечить защиту конфиденциальной информации от любых угроз. К задачам службы безопасности предприятия относятся: • определение круга лиц, которые в силу занимаемого служебного положения на предприятии прямо или косвенно имеют доступ к сведениям конфиденциального характера; • определение участков сосредоточения конфиденциальных сведений; • определение круга сторонних предприятий, связанных с данным предприятием кооперативными связями, на которых в силу производственных отношений возможен выход из-под контроля сведений конфиденциального характера; • выявление крута лиц, не допущенных к конфиденциальной информации, но проявляющих повышенный интерес к таким сведениям; • выявление круга предприятий, в том числе и иностранных, заинтересованных в овладении охраняемыми сведениями с целью нанесения экономического ущерба данному предприятию, устранения экономического конкурента либо его компрометации; • разработка системы защиты документов, содержащих сведения конфиденциального характера; • определение на предприятии участков, уязвимых в аварийном отношении, выход из строя которых может нанести материальный ущерб предприятию и сорвать поставки готовой продукции или комплектующих предприятиям, связанным с ним кооперацией; • определение на предприятии технологического оборудования, выход (или вывод) которого из строя может привести к большим экономическим потерям;
Направления обеспечения информационной безопасности • определение уязвимых мест в технологии производственного цикла, несанкционированное изменение в которой может привести к утрате качества выпускаемой продукции и нанести материальный или моральный ущерб предприятию (потеря конкурентоспособности); • определение мест на предприятии, несанкционированное посещение которых может привести к изъятию (краже) готовой продукции или полуфабрикатов, заготовок и др. и организация их фи з и ческой защиты и охраны; • определение и обоснование мер правовой, организационной и инженерно-технической защиты п р е д п р и я т и я , п е р с о н а л а , п р о д у к ц и и и информации; • разработка необходимых мероприятий, направленных на совершенствование системы экономической, социальной и информационной безопасности предприятия; • внедрение в деятельность предприятия новейших достижений науки и техники, передового опыта в области обеспечения экономической и информационной безопасности; • организация обучения сотрудников службы безопасности в соответствии с их функциональными обязанностями; • изучение, анализ и оценка состояния обеспечения экономической и информационной безопасности предприятия и разработка предложений и рекомендаций для их совершенствования; • разработка технико-экономических обоснований, направленных на приобретение технических средств, получение консультации у специалистов, р а з р а б о т к у необходимой д о к у м е н т а ц и и в целях с о в е р ш е н с т в о в а н и я системы мер по обеспечению экономической и и н ф о р м а ц и о н н о й безопасности. Организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.
Глава 2
• 2.3. Инженерно-техническая защита На вооружении промышленных шпионов, недобросовестных конкурентов и просто злоумышленников находятся самые разнообразные средства проникновения на объекты противоправных интересов и получения конфиденциальной информации. В этих условиях в интересах обеспечения информационной безопасности необходимы адекватные по ориентации, функциональному назначению и другим характеристикам технические средства защиты охраняемых секретов.
2.3.1. Общие положения Инженерно-техническая защита (ИТЗ) по определению — это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной и н ф о р мации. Многообразие целей, задач, объектов з а щ и т ы и проводимых мероприятий предполагает рассмотрение некоторой системы классификации средств по виду, ориентации и другим характеристикам. Например, средства инженерно-технической защиты можно рассматривать по объектам их воздействия. В этом плане они могут применяться для защиты людей, материальных средств, финансов, и н ф о р : мации. Примерная классификационная структура инженерно-технической защиты приведена на рис.15. Многообразие классификационных характеристик позволяет рассматривать инженерно-технические средства по объектам воздействия, характеру мероприятий, способам реализации, масштабу охвата, классу средств злоумышленников, которым оказывается противодействие со стороны службы безопасности. По функциональному назначению средства инженерно-технической з а щ и т ы делятся на следующие группы: • ф и з и ч е с к и е средства, в к л ю ч а ю щ и е р а з л и ч н ы е средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышлен-
ИНЖЕНЕРНО-ТЕХНИЧЕСКАЯ ЗАЩИТА
— совокупность специальных мер, персонала, технических средств, направленных на предотвращение разглашения, утечки, несанкционированного доступа и других форм незаконного вмешательства в информационные ресурсы
К л а с с и ф и ц и р у е т с я
По объектам воздействия
По характеру мероприятий
По способам реализации
По масштабу охвата
Рис. 15
По классу технических средств защиты
По классу средств злоумышленника
Глава 2 ников на объекты защиты и к материальным носителям конфиденциальной информации (рис. 16) и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий; • аппаратные средства. Сюда входят приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. В практике деятельности предприятия находит широкое применение самая различная аппаратура, начиная с телефонного аппарата до совершенных автоматизированных систем, обеспечивающих производственную деятельность. Основная задача аппаратных средств — обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной деятельности; • программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения,обработки и передачи) данных; • .криптографические средства — это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования. Аппаратные средства и методы защиты распространены достаточно широко. Однако из-за того, что они не обладают достаточной гибкостью, часто теряют свои защитные свойства при раскрытии их принципов действия и в дальнейшем не могут быть используемы. Программные средства и методы защиты надежны и период их гарантированного использования без перепрограммирования значительно больше, чем аппаратных. Криптографические методы занимают важное место и выступают надежным средством обеспечения защиты информации на длительные периоды.
КЛАССИФИКАЦИЯ ИТЗ по используемым средствам
ФИЗИЧЕСКИЕ
АППАРАТНЫЕ
ПРОГРАММНЫЕ
Устройства, инженерные сооружения и организационные меры, затрудняющие или исключающие проникновение злоумышленников к источникам конфиденциальной информации
Механические, электрические, электронные и др. устройства, предназначенные для защиты информации от утечки и разглашения и противодействия техническим средствам промышленного шпионажа
Система специальных программ, включаемых в состав общего и специального обеспечения, реализующих функции защиты информации и сохранения целостности и конфиденциальности
КРИПТОГРАФИЧЕСКИЕ
КОМБИНИРОВАННЫЕ
Технические и программные средства шифрования
Совокупная реализация аппаратных и программных средств и криптографических методов зашиты информации
Рис. 16
I
Глава 2 Очевидно, что такое деление средств защиты информации достаточно условно, так как на практике очень часто они и взаимодействуют и реализуются в комплексе в виде программно-аппаратных модулей с широким использованием алгоритмов закрытия информации. 2.3.2. Физические средства защиты Физические средства защиты — это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников. К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа, выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий (рис. 17). Эти средства применяются для решения следующих задач: 1) охрана территории предприятия и наблюдение за ней; 2) охрана зданий, внутренних помещений и контроль за ними; 3) охрана оборудования, продукции, финансов и информации; 4) осуществление контролируемого доступа в здания и помещения. Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов — это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения, и от других преступных действий (подслушивание, обстрел, бросание гранат и взрывпакетов и т. д.). Средства пожаротушения относятся к системам ликвидации угроз.
ФИЗИЧЕСКИЕ СИСТЕМЫ ЗАЩИТЫ
СИСТЕМЫ ОГРАЖДЕНИЯ И ФИЗИЧЕСКОЙ ИЗОЛЯЦИИ обеспечивают:
СИСТЕМЫ КОНТРОЛЯ ДОСТУПА
- защиту объектов по периметру
реализуют - контроль доступа на охраняемые объекты
- защиту элементов зданий и помещений
- защиту документов, данных, файлов
- защиту объемов зданий и помещений
включают: - различные системы запирающих устройств (механические, электромеханические, электронные) - различные системы шкафов и хранилищ
2 В общем плане по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы: • охранные и охранно-пожарные системы; • охранное телевидение; • охранное освещение; • средства физической защиты.
Охранные системы и средства охранной сигнализации предназначены для обнаружения различных видов угроз: попыток проникновения на объект защиты, в охраняемые зоны и помещения, попыток проноса (выноса) оружия, средств промышленного шпионажа, краж материальных и финансовых ценностей и других действий; оповещения сотрудников охраны или персонала объекта о появлении угроз и необходимости усиления контроля доступа на объект, территорию, в здания и помещения. Важнейшими элементами охранных систем являются датчики, обнаруживающие появление угрозы. Характеристики и принципы работы датчиков определяют основные параметры и практические возможности охранных систем. Уже разработано и широко используется значительное количество самых разнообразных датчиков как по принципам обнаружения различных физических полей, так и по тактическому использованию. Эффективность работы системы охраны и охранной сигнализации в основном определяется параметрами и принципом работы датчиков. На сегодня известны датчики следующих типов: механические выключатели, проволока с выключателем, магнитный выключатель, ртутный выключатель, коврики давления, металлическая фольга, проволочная сетка, шифроволновый датчик, ультразвуковой датчик, инфракрасный датчик, фотоэлектрический датчик, акустический датчик, вибрационный датчик, индуктивный датчик, емкостный датчик и другие. Каждый тип датчика реализует определенный вид защиты: точечная защита, защита по линии, защита по площади или защита по объему. Механические датчи-
Направления обеспечения информационной безопасности ки ориентированы на защиту линии, коврики давления — на точечное обнаружение, а инфракрасные находят широкое применение по площади и по объему. Датчики посредством тех или иных каналов связи соединены с контрольно-приемным устройством пункта (или поста) охраны и средствами тревожного оповещения. Каналами связи в системах охранной сигнализации могут быть специально проложенные проводные или кабельные линии, телефонные линии объекта, линии связи трансляции, системы освещения или радиоканалы. Выбор каналов определяется возможностями объекта. Важным объектом охранной системы являются средства тревожного оповещения: звонки, лампочки, сирены, подающие постоянные или прерываемые сигналы о появлении угрозы. По тактическому назначению охранные системы подразделяются на системы охраны: • периметров объектов; • помещений и проходов в служебных и складских зданиях; • сейфов, оборудования, основных и вспомогательных технических средств; • автотранспорта; • персонала, в том числе и личного состава охраны, и другие. К средствам физической защиты относятся: • естественные и искусственные барьеры; • особые конструкции периметров, проходов, оконных и дверных переплетов, помещений, сейфов, хранилищ; • зоны безопасности. Естественные и искусственные барьеры служат для противодействия незаконному проникновению на территорию объекта. Однако основная защитная нагрузка ложится все-таки на искусственные барьеры — такие, как заборы и другие виды ограждений. Практика показывает, что ограждения сложной конфигурации способны задержать злоумышленника на достаточно большое время. На сегодня насчитывается значительный арсенал таких средств: от простых 3 Безопасность
Глава 2 сетчатых до сложных комбинированных ограждений, оказывающих определенное отпугивающее воздействие на нарушителя. Особые конструкции периметров, проходов, оконных переплетов, помещений, сейфов, хранилищ являются обязательными с точки зрения безопасности для любых организаций и предприятий. Эти конструкции должны противостоять любым способам физического воздействия со стороны криминальных элементов: механическим деформациям, разрушению сверлением, термическому и механическому резанию, взрыву; несанкционированному доступу путем подделки ключей, угадывания кода и т. д. Одним из главных технических средств защиты проходов, помещений, сейфов и хранилищ являются замки. Они бывают простыми (с ключами), кодовыми (в том числе и с временной задержкой на открывание) и с программными устройствами, открывающие двери и сейфы только в определенные часы. Зоны безопасности. Важнейшим средством физической защиты является планировка объекта, его зданий и помещений по зонам безопасности, которые учитывают степень важности различных частей объекта с точки зрения нанесения ущерба от различного вида угроз. Оптимальное расположение зон безопасности и размещение в них эффективных технических средств обнаружения, отражения и ликвидации последствий противоправных действий составляет основу концепции инженерно-технической защиты объекта. Зоны безопасности должны располагаться на объекте последовательно, от забора вокруг территории объекта до хранилищ ценностей, создавая цепь чередующихся друг за другом препятствий (рубежей), которые придется преодолевать злоумышленнику. Чем сложнее и надежнее препятствие на его пути, тем больше времени потребуется на преодоление каждой зоны и тем больше вероятность того, что расположенные в каждой зоне средства обнаружения (охранные посты, охранная сигнализация и охранное телевидение) выявят наличие нарушителя и подадут сигнал тревоги. Основу планировки и оборудования зон безопасности объекта составляет принцип равнопрочности
Направления обеспечения информационной безопасности границ зон безопасности. Суммарная прочность зон безопасности будет оцениваться наименьшей из них.
Одним из распространенных средств охраны является охранное телевидение. Привлекательной особенностью охранного телевидения является возможность не только отметить нарушение режима охраны объекта, но и контролировать обстановку вокруг него в динамике ее развития, определять опасность действий, вести скрытое наблюдение и производить видеозапись для последующего анализа правонарушения как с целью анализа, так и для привлечения к ответственности нарушителя. Источниками изображения (датчиками) в системах охранного телевидения являются видеокамеры. Через объектив изображение злоумышленника попадает на светочувствительный элемент камеры, в котором оно преобразуется в электрический сигнал, поступающий затем по специальному коаксиальному кабелю на монитор и при необходимости — на видеомагнитофон. Видеокамера является наиболее важным элементом системы охранного телевидения, так как от ее характеристик зависит эффективность и результативность всей системы контроля и наблюдения. В настоящее время разработаны и выпускаются самые разнообразные модели, различающиеся как по габаритам, так и по возможностям и по конструктивному исполнению. Вторым по значимости элементом системы охранного телевидения является монитор. Он должен быть согласован по параметрам с видеокамерой. Часто используется один монитор с несколькими камерами, подсоединяемыми к нему поочередно средствами автоматического переключения по определенному регламенту. В некоторых системах телевизионного наблюдения предусматривается возможность автоматического подключения камеры, в зоне обзора которой произошло нарушение. Используется и более сложное оборудование, включающее средства автоматизации, устройства одновременного вывода нескольких изоб-
|
Глава 2 ражений, детекторы движения для подачи сигнала тревоги при выявлении каких-либо изменений в изображении.
Обязательной составной частью системы защиты любого объекта является охранное освещение. Различают два вида охранного освещения — дежурное и тревожное. Дежурное освещение предназначается для постоянного использования в нерабочие часы, в вечернее и ночное время как на территории объекта, так и внутри здания. Тревожное освещение включается при поступлении сигнала тревоги от средства охранной сигнализации. Кроме того, по сигналу тревоги в дополнение к освещению могут включаться и звуковые приборы (звонки, сирены и пр.). Сигнализация и дежурное освещение должны иметь резервное электропитание на случай аварии или выключения электросети.
В последние годы большое внимание уделяется созданию систем физической защиты, совмещенных с системами сигнализации. Так, известна электронная система сигнализации для использования с проволочным заграждением. Система состоит из электронных датчиков и микропроцессора, управляющего блоком обработки данных. Заграждение длиной до 100 м может устанавливаться на открытой местности или размещаться на стенах, чердаках и имеющихся оградах. Устойчивые к воздействию окружающей среды датчики монтируются на стойках, кронштейнах. Проволочное заграждение состоит из 32 горизонтально натянутых стальных нитей, в средней части каждой из которых крепится электромеханический датчик, преобразующий изменение натяжения нитей в электрический сигнал. Превышение пороговой величины напряжения, программируемое по амплитуде для каждого датчика
Направления обеспечения информационной безопасности отдельно, вызывает сигнал тревоги. Связь системы с центральным пунктом управления и контроля осуществляется с помощью мультиплексора. Микропроцессор автоматически через определенные интервалы времени проверяет работу компонентов аппаратуры и программных средств и — в случае установления отклонений — подает соответствующий сигнал. Подобные и ряд других аналогичных систем физической защиты могут использоваться для защиты объектов по периметру в целях обнаружения вторжения на территорию объекта. Используются системы из сетки двух волоконнооптических кабелей, по которым передаются кодированные сигналы инфракрасного диапазона. Если в сетке нет повреждений, то сигналы поступают на приемное устройство без искажений. Попытки повреждения сетки приводят к обрывам или деформации кабелей, что вызывает сигнал тревоги. Оптические системы отличаются низким уровнем ложных тревог, вызванных воздействием на нее мелких животных, птиц, изменением погодных условий и высокой вероятностью обнаружения попыток вторжения. Следующим видом физической защиты является защита элементов зданий и помещений. Хорошую физическую защиту оконных проемов помещений обеспечивают традиционные металлические решетки, а также специальное остекление на основе пластических масс, армированных стальной проволокой. Двери и окна охраняемого помещения оборудуются датчиками, срабатывающими при разрушении стекол, дверей, но не реагирующими на их колебания, вызванные другими причинами. Срабатывание датчиков вызывает сигнал тревоги. Среди средств физической защиты особо следует отметить средства защиты ПЭВМ от хищения и проникновения к их внутренним компонентам. Для этого используют металлические конструкции с клейкой подставкой, которая обеспечивает сцепление с поверхностью стола с силой в 2500 — 2700 кг/см. Это исключает изъятие или перемещение ПЭВМ без нарушения целостности поверхности стола. Перемещение ПЭВМ возможно только с использованием специальных ключей и инструментов.
Запирающие устройства и специальные шкафы занимают особое место в системах ограничения доступа, поскольку они несут в себе признаки как систем физической защиты, так и устройств контроля доступа. Они отличаются большим разнообразием и предназначены для защиты документов, материалов, магнитных и фотоносителей и даже технических средств: ПЭВМ, калькуляторов, принтеров, ксероксов и других. Выпускаются специальные металлические шкафы для хранения ПЭВМ и другой техники. Такие шкафы снабжаются надежной двойной системой запирания: замком ключевого типа и трех — пятизначным комбинированным замком. Фирмы утверждают, что такие шкафы обладают прочностью и надежностью, достаточными для защиты от промышленного шпионажа. Выпускаются замки с программируемым временем открывания с помощью механических или электронных часов.
Системы контроля доступа Регулирование доступа в помещения или здания осуществляется прежде всего посредством опознавания службой охраны или техническими средствами. Контролируемый доступ предполагает ограничение круга лиц, допускаемых в определенные защищаемые зоны, здания, помещения, и контроль за передвижением этих лиц внутри них. Основанием допуска служит определенный метод опознавания и сравнения с разрешительными параметрами системы. Имеется весьма широкий спектр методов опознавания уполномоченных лиц на право их доступа в помещения, здания, зоны. На основе опознавания принимается решение о допуске лиц, имеющих на это право, или запрещение — для не имеющих его. Наибольшее распространение получили атрибутные и персональные методы опознавания. К атрибутным способам относятся средства подтверждения полномочий, такие, в частности, как доку_п менты (паспорт, удостоверение), карты (фотокарточ/0 ки, карты с магнитными, электрическими, механичес-
Направления обеспечения информационной безопасности кими идентификаторами и т. д.) и иные средства (ключи, сигнальные элементы и т. д.). Заметим, что эти средства в значительной мере подвержены различного рода подделкам и мошенничеству. Персональные методы — это методы определения лица по его независимым показателям: отпечаткам пальцев, геометрии рук, особенностям глаз. Персональные характеристики бывают статические и динамические. К последним относятся пульс, давление, кардиограммы, речь, почерк и другие. Персональные способы наиболее привлекательные. Во-первых, они полно описывают каждого отдельного человека. Во-вторых, невозможно или крайне трудно подделать индивидуальные характеристики. Статические способы включают анализ физических характеристик — таких, как отпечатки пальцев, особенности геометрии рук и другие. Они достаточно достоверны и обладают малой вероятностью ошибок. Динамические же способы используют изменяющиеся во времени опознавательные характеристики. Характеристики, зависящие от привычек и навыков, являются не только наиболее простыми для подделок, но и наиболее дешевыми с точки зрения практической реализации. Способы опознавания, основанные на чем-либо запоминаемом (код, пароль), могут применяться в случаях наиболее низких требований к безопасности, так как часто эта информация записывается пользователями на различных бумажках, в записных книжках и других носителях, что при их доступности другим может свести на нет все усилия по безопасности. Кроме того, имеется реальная возможность подсмотреть, подслушать или получить эту информацию другим путем (насилие, кража и т. д.). Способ опознавания человеком (вахтер, часовой) не всегда надежен из-за так называемого «человеческого фактора», заключающегося в том, что человек подвержен влиянию многих внешних условий (усталость, плохое самочувствие, эмоциональный стресс, подкуп). В противовес этому Находят широкое применение технические средства опознавания, такие, например, как идентификационные карты, опознавание по голосу, почерку, пальцам и др.
/I
2 Простейший и наиболее распространенный метод идентификации использует различные карты и карточки, на которых помещается кодированная или открытая информация о владельце, его полномочиях и другое. Обычно это пластиковые карты типа пропусков или жетонов. Карты вводятся в читающее устройство каждый раз, когда требуется войти или выйти из охраняемого помещения или получить доступ к чемунибудь (сейфу, камере, терминалу). Существует много разновидностей устройств опознавания и идентификации личности, использующих подобные карты. Одни из них оптическим путем сличают фотографии и другие идентификационные элементы, другие — магнитные поля. Системы опознавания по отпечаткам пальцев. В основу идентификации положено сравнение относительного положения окончаний и разветвлений линий отпечатка. Поисковая система ищет на текущем изображении контрольные элементы, определенные при исследовании эталонного образца. Для идентификации одного человека считается достаточным определение координат 12 точек. Эти системы, естественно, весьма сложны и рекомендуются к использованию на объектах, требующих надежной защиты. Системы опознавания по голосу. Существует несколько способов выделения характерных признаков речи человека: анализ кратковременных сегментов, контрольный анализ, выделение статистических характеристик. Следует отметить, что теоретически вопросы идентификации по голосу разработаны достаточно полно, но промышленное производство пока налажено слабо. Системы опознавания по почерку считаются наиболее удобными для пользователя. Основным принципом идентификации по почерку является постоянство подписи каждого индивидуума, хотя абсолютного совпадения не бывает. Система опознавания по геометрии рук. Для иден-
тификации применяют анализ комбинации линий сгибов пальцев и ладони, линий складок, длины и толщины пальцев и других.
Направления обеспечения информационной безопасности Технически это реализуется путем наложения руки на матрицу фотоячеек. Рука освещается мощной лампой, производится регистрация сигналов с ячеек, несущих информацию о геометрии. Все устройства идентификации человека могут работать как отдельно, так и в комплексе. Комплекс может быть узкоспециальным или многоцелевым, при котором система выполняет функции охраны, контроля, регистрации и сигнализации. Такие системы являются уже комплексными. Комплексные системы обеспечивают: • допуск на территорию предприятия по карточке (пропуску), содержащей индивидуальный машинный код; • блокирование прохода при попытках несанкционированного прохода (проход без пропуска, проход в спецподразделения сотрудников, не имеющих допуска); • возможность блокирования прохода для нарушителей графика работы (опоздание, преждевременный уход и т. д.); • открытие зоны прохода для свободного выхода по команде вахтера; • проверку кодов пропусков на задержание их предъявителей на КПП по указанию оператора системы; • регистрацию времени пересечения проходной и сохранение, его в базе данных персональной ЭВМ; • обработку полученных данных и формирование различных документов (табель рабочего времени, суточный рапорт, ведомость нарушителей трудовой дисциплины и т. д.), что позволяет иметь оперативную информацию о нарушителях трудовой дисциплины, отработанном времени; • оперативную корректировку информации базы данных с доступом по паролю; • распечатку табелей рабочего времени по произвольной группе сотрудников (предприятие в целом, структурное подразделение, отдельно выбранные сотрудники); • распечатку списков нарушителей графика рабочего времени с конкретными данными о нарушении;
Глава 2 • текущий и ретроспективный анализ посещения сотрудниками подразделений, передвижения сотрудников через КПП, выдачу списочного состава присутствовавших или отсутствовавших в подразделении или на предприятии для произвольно выбранного момента времени (при условии хранения баз данных за прошлые периоды); • получение оперативной информации абонентами локальной сети в случае сетевой реализации системы. Физические средства являются первой преградой для злоумышленника при реализации им заходовых методов доступа.
2.3.3. Лппаратныв средства защиты К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации. Аппаратные средства защиты информации применяются для решения следующих задач: • проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации; • выявление каналов утечки информации на разных объектах и в помещениях; • локализация каналов утечки информации; • поиск и обнаружение средств промышленного шпионажа; • противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям. По функциональному назначению аппаратные средства могут быть классифицированы на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. При этом по своим техническим возможностям
Направления обеспечения информационной безопасности средства защиты информации могут быть общего назначения, рассчитанные на использование непрофессионалами с целью получения предварительных (общих) оценок, и профессиональные комплексы, позволяющие проводить тщательный поиск, обнаружение и прецизионные измерения всех характеристик средств промышленного шпионажа. В качестве примера первых можно рассмотреть группу индикаторов электромагнитных излучений типа ИП, обладающих широким спектром принимаемых сигналов и довольно низкой чувствительностью. В качестве второго примера — комплекс для обнаружения и пеленгования радиозакладок, предназначенный для автоматического обнаружения и определения местонахождения радиопередатчиков, радиомикрофонов, телефонных закладок и сетевых радиопередатчиков. Это уже сложный современный поисково-обнаружительный профессиональный комплекс. Таким является, например, комплекс «Дельта», который обеспечивает: • достоверное обнаружение практически любых из имеющихся в продаже радиомикрофонов, радиостетоскопов, сетевых и телефонных передатчиков, в том числе и с инверсией спектра; • автоматическое определение места расположения микрофонов в объеме контролируемого помещения. В состав комплекса входит радиоприемное устройство AR-3000 и ПЭВМ (рис. 18). Поисковую аппаратуру можно подразделить на аппаратуру поиска средств съема информации и исследования каналов ее утечки. Аппаратура первого типа направлена на поиск и локализацию уже внедренных злоумышленниками средств несанкционированного доступа. Аппаратура второго типа предназначается для выявления каналов утечки информации.
Рис. 18. Разведывательнопоисковый комплекс «Дельта»
Глава 2
76
Примером такого комплекса может служить комплекс «Зарница», обеспечивающий измерение параметров побочных электромагнитных излучений в диапазоне частот от 10 Кгц до 1 Ггц. Обработка результатов измерений осуществляется на ПЭВМ в соответствии с действующими нормативно-методическиРис. 19. Комплекс ми обнаружения и измерения документами ГостехкоПЭМИ «Зарница» миссии при Президенте РФ (рис. 19). Определяющими для такого рода систем являются оперативность исследования и надежность полученных результатов. Использование профессиональной поисковой аппаратуры требует высокой квалификации оператора. Как в любой области техники, универсальность той или иной аппаратуры приводит к снижению ее параметров по каждой отдельной характеристике. С другой стороны, существует огромное количество различных по физической природе каналов утечки информации, а также физических принципов, на основе которых работают системы несанкционированного доступа. Эти факторы обусловливают многообразие поисковой аппаратуры, а ее сложность определяет высокую стоимость каждого прибора. В связи с этим достаточный комплекс поискового оборудования могут позволить себе иметь структуры, постоянно проводящие соответствующие обследования. Это либо крупные службы безопасности, либо специализированные фир-, мы, оказывающие услуги сторонним организациям. Конечно, описанное выше не является аргументом для отказа от использования средств поиска самостоятельно. Но эти средства в большинстве случаев достаточно просты и позволяют проводить профилактические мероприятия в промежутке между серьезными поисковыми обследованиями. В особую группу выделяются аппаратные средства защиты ЭВМ и коммуникационных систем на их базе. Аппаратные средства защиты применяются как в отдельных ПЭВМ, так и на различных уровнях и уча-
Направления обеспечения информационной безопасности стках сети: в центральных процессорах ЭВМ, в их оперативных ЗУ (ОЗУ), контроллерах ввода-вывода, внешних ЗУ, терминалах и т. д. Для защиты центральных процессоров (ЦП) применяется кодовое резервирование — создание дополнительных битов в форматах машинных команд (разрядов секретности) и резервных регистров (в устройствах ЦП). Одновременно предусматриваются два возможных режима работы процессора, которые отделяют вспомогательные операции от операций непосредственного решения задач пользователя. Для этого служит специальная система прерывания, реализуемая аппаратными средствами. Одной из мер аппаратной защиты ЭВМ и информационных сетей является ограничение доступа к оперативной памяти с помощью установления границ или полей. Для этого создаются регистры контроля и регистры защиты данных. Применяются также дополнительные биты четности — разновидность метода кодового резервирования. Для обозначения степени конфиденциальности программ и данных, категорий пользователей используются биты, называемые битами конфиденциальности (это два-три дополнительных разряда, с помощью которых кодируются категории секретности пользователей, программ и данных). Программы и данные, загружаемые в ОЗУ, нуждаются в защите, гарантирующей их от несанкционированного доступа. Часто используются биты четности, ключи, постоянная специальная память. При считывании из ОЗУ необходимо, чтобы программы не могли быть уничтожены несанкционированными действиями пользователей или вследствие выхода аппаратуры из строя. Отказы должны своевременно выявляться и устраняться, чтобы предотвратить исполнение искаженной команды ЦП и потери информации. Для предотвращения считывания оставшихся после обработки данных в ОЗУ применяется специальная схема стирания. В этом случае формируется команда на стирание ОЗУ и указывается адрес блока памяти, который должен быть освобожден от информации. Эта схема записывает нули или какую-нибудь другую последовательность символов во все ячейки данного бло-
Глава 2 ка памяти, обеспечивая надежное стирание ранее загруженных данных. Аппаратные средства защиты применяются и в терминалах пользователей. Для предотвращения утечки информации при подключении незарегистрированного терминала необходимо перед выдачей запрашиваемых данных осуществить идентификацию (автоматическое определение кода или номера) терминала, с которого поступил запрос. В многопользовательском режиме этого терминала идентификации его недостаточно. Необходимо осуществить аутентификацию пользователя, то есть установить его подлинность и полномочия. Это необходимо и потому, что разные пользователи, зарегистрированные в системе, могут иметь доступ только к отдельным файлам и строго ограниченные полномочия их использования. Для идентификации терминала чаще всего применяется генератор кода, включенный в аппаратуру терминала, а для аутентификации пользователя — такие аппаратные средства, как ключи, персональные кодовые карты, персональный идентификатор, устройства распознавания голоса пользователя или формы его пальцев. Но наиболее распространенными средствами аутентификации являются пароли, проверяемые не аппаратными, а программными средствами опознавания. Аппаратные средства защиты информации — это различные технические устройства, системы и сооружения, предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа.
2.3.4. Программные средства защиты Системы защиты компьютера от чужого вторжения весьма разнообразны и классифицируются, как: • средства собственной защиты, предусмотренные общим программным обеспечением; • средства защиты в составе вычислительной системы; • средства защиты с запросом информации; • средства активной защиты; • средства пассивной защиты и другие. Более подробно эти-группы защиты представлены на рис. 20.
Средства собственной защиты
Средства защиты в составе вычислительной системы
средства защиты с запросом информации
Средства активной защиты
Средства пассивной защиты
Элементы защиты, присущие самому программному обеспечению или сопровождающие его продажу и препятствующие незаконным действиям
Средства защиты аппаратуры, дисков и штатных устройств. При использовании таких средств операционная среда, в отличие от штатного режима, постоянно изменяется, поскольку выполнение программ зависит от определенных действий, специальных мер предосторожности и условий, гарантирующих защиту
Требуют для своей работы ввода дополнительной информации с целью идентификации полномочий пользователей
Инициируются при возшкновении особых об:тоятельств: - вводе неправильно-о пароля; - указании неправильной даты или времени три запуске программ; - попытках доступа к информации без разэешения и т.п.
Направлены на предостережение, контроль, поиск улик и доказательств с целью гоздания обстановки неотвратимого раскрытия преступления
3
Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации, в частности такие: • защита информации от несанкционированного доступа; защита информации от копирования; защита программ от копирования; защита программ от вирусов; защита информации от вирусов; программная защита каналов связи. По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов (рис. 21). Программные средства защиты имеют следующие разновидности специальных программ: .т идентификации технических средств, файлов и аутентификации пользователей; • регистрации и контроля работы технических средств и пользователей; • обслуживания режимов обработки информации ограниченного пользования; • защиты операционных средств ЭВМ и прикладных программ пользователей; • уничтожения информации в защитные устройства после использования; • сигнализирующих нарушения использования ресурсов; • вспомогательных программ защиты различного назначения (рис. 22). Идентификация технических средств и файлов, осуществляемая программно, делается на основе анализа регистрационных номеров различных компонентов и объектов информационной системы и сопоставления их со значениями адресов и паролей, хранящихся в защитном устройстве системы управления. Для обеспечения надежности защиты с помощью паролей работа системы защиты организуется таким образом, чтобы вероятность раскрытия секретного
ПРОГРАММНЫЕ СРЕДСТВА ЗАЩИТЫ
Идентификация технических средств, задач, массивов и пользователей
Определение прав технических средств, задач и пользователей
Контроль работы технических средств и пользователей
Регистрация работы средств и пользователей при обработке закрытой информации
Уничтожение информации в ЗУ после завершения работы
Сигнализация о несанкционированных действиях
Контроль работы механизма защиты Рис. 21
Вспомогательные программы различного назначения
Автоматическое проставление грифа
СФЕРЫ ПРОГРАММНОЙ ЗАЩИТЫ
ЗАЩИТА ДАННЫХ
сохранение конфидетщальности
сохранение целостности
ЗАЩИТА ПРОГРАММ
обеспечивает качество обработки данных
Рис. 22
является коммерческой тайной
наиболее уязвима для злоумышленника
Направления обеспечения информационной безопасности пароля и установления соответствия тому или иному идентификатору файла или терминала была как можно меньше. Для этого надо периодически менять пароль, а число символов в нем установить достаточно большим. Эффективным способом идентификации адресуемых элементов и аутентификации пользователей является алгоритм запросно-ответного типа, в соответствии с которым система защиты выдает пользователю запрос на пароль, после чего он должен дать на него определенный ответ. Так как моменты ввода запроса и ответа на него непредсказуемы, это затрудняет процесс отгадывания пароля, обеспечивая тем самым более высокую надежность защиты. Получение разрешения на доступ к тем или иным ресурсам можно осуществить не только на основе использования секретного пароля и последующих процедур аутентификации и идентификации. Это можно сделать более детальным способом, учитывающим различные особенности режимов работы пользователей, их полномочия, категории запрашиваемых данных и ресурсов. Этот способ реализуется специальными программами, анализирующими соответствующие характеристики пользователей, содержание заданий, параметры технических и программных средств, устройств памяти. Поступающие в систему защиты конкретные данные, относящиеся к запросу, сравниваются в процессе работы программ защиты с данными, занесенными в регистрационные секретные таблицы (матрицы). Эти таблицы, а также программы их формирования и обработки хранятся в зашифрованном виде и находятся под особым контролем администратора (администраторов) безопасности информационной сети. Для разграничения обращения отдельных пользователей к вполне определенной категории информации применяются индивидуальные меры секретности этих файлов и особый контроль доступа к ним пользователей. Гриф секретности может формироваться в виде трехразрядных кодовых слов, которые хранятся в самом файле или в специальной таблице. В этой же таблице записываются идентификатор пользователя, создавшего данный файл, идентификаторы термина-
Глава 2 лов, с которых может быть осуществлен доступ к файлу, идентификаторы пользователей, которым разрешен доступ к данному файлу, а также их права на пользование файлом (считывание, редактирование, стирание, обновление, исполнение и т. д.). Важно не допустить взаимовлияния пользователей в процессе обращения к файлам. Если, например, одну и ту же запись имеют право редактировать несколько пользователей, то каждому из них необходимо сохранить именно его вариант редакции (делается несколько копий записей с целью возможного анализа и установления полномочий).
Для защиты от чужого вторжения обязательно предусматриваются определенные меры безопасности. Основные функции, которые должны осуществляться программными средствами, это: • идентификация субъектов и объектов; • разграничение (иногда и полная изоляция) доступа к вычислительным ресурсам и информации; • контроль и регистрация действий с информацией и программами. Процедура идентификации и подтверждения подлинности предполагает проверку, является ли субъект, осуществляющий доступ (или объект, к которому осуществляется доступ), тем, за кого себя выдает. Подобные проверки могут быть одноразовыми или периодическими (особенно в случаях продолжительных сеансов работы). В процедурах идентификации используются различные методы: • простые, сложные или одноразовые пароли; • обмен вопросами и ответами с администратором; • ключи, магнитные карты, значки, жетоны; • средства анализа индивидуальных характеристик (голоса, отпечатков пальцев, геометрических параметров рук, лица); • специальные идентификаторы или контрольные суммы для аппаратуры, программ, данных. Наиболее распространенным методом идентификации является парольная идентификация.
Направления вВеспечення информационной безопасности Практика показала, что парольная защита данных является слабым звеном, так как пароль можно подслушать или подсмотреть, пароль можно перехватить, а то и просто разгадать. Для защиты самого пароля выработаны определенные рекомендации, как сделать пароль надежным: • пароль должен содержать по крайней мере восемь символов. Чем меньше символов содержит пароль, тем легче его разгадать; • не используйте в качестве пароля очевидный набор символов, например ваше имя, дату рождения, имена близких или наименования ваших программ. "Лучше всего использовать для этих целей неизвестную формулу или цитату; если криптографическая программа позволяет, введите в пароль по крайней мере один пробел, небуквенный символ или прописную букву; • не называйте никому ваш пароль, не записывайте его. Если вам пришлось нарушить эти правила, спрячьте листок в запираемый ящик; • чаще меняйте пароль; • не вводите пароль в процедуру установления диалога или макрокоманду. Помните, что набранный на клавиатуре пароль часто сохраняется в последовательности команд автоматического входа в систему. Для идентификации программ и данных часто прибегают к подсчету контрольных сумм, однако, как и в случае парольной идентификации, важно исключить возможность подделки при сохранении правильной контрольной суммы. Это достигается путем использования сложных методов контрольного суммирования на основе криптографических алгоритмов. Обеспечить защиту данных от подделки (имитостойкость) можно, применяя различные методы шифрования и методы цифровой подписи на основе криптографических систем с открытым ключом. После выполнения процедур идентификации и установления подлинности пользователь получает доступ к вычислительной системе, и защита информации осуществляется на трех уровнях:
Глава 2 • аппаратуры; • программного обеспечения; • данных. Защита на уровне аппаратуры и программного обеспечения предусматривает управление доступом к вычислительным ресурсам: отдельным устройствам, оперативной памяти, операционной системе, специальным служебным или личным программам пользователя. Защита информации на уровне данных направлена: • на защиту информации при обращении к ней в процессе работы на ПЭВМ и выполнении только разрешенных операций над ними; • на защиту информации при ее передаче по каналам связи между различными ЭВМ. Управление доступом к информации позволяет ответить на вопросы: • кто может выполнять и какие операции; • над какими данными разрешается выполнять операции. Объектом, доступ к которому контролируется, может быть файл, запись в файле или отдельное поле записи файла, а в качестве факторов, определяющих порядок доступа, — определенное событие, значения данных, состояние системы, полномочия пользователя, предыстория обращения и другие данные. Доступ, управляемый событием, предусматривает блокировку обращения пользователя. Например, в определенные интервалы времени или при обращении с определенного терминала. Доступ, зависящий от состояния, осуществляется в зависимости от текущего состояния вычислительной системы, управляющих программ и системы защиты. Что касается доступа, зависящего от полномочий, то он предусматривает обращение пользователя к программам, данным, оборудованию в зависимости от предоставленного режима. Такими режимами могут быть «только читать», «читать и писать», «только выполнять» и другие. В основе большинства средств контроля доступа лежит то или иное представление матрицы доступа. Другой подход к построению средств защиты доступа основан на контроле информационных потоков и разделении субъектов и объектов доступа на классы конфиденциальности.
Направленна обеспечения информационной безопасности Средства регистрации, как и средства контроля доступа, относятся к эффективным мерам защиты от несанкционированных действий. Однако, если средства контроля доступа предназначены для предотвращения таких действий, то задача регистрации — обнаружить уже совершенные действия или их попытки. В общем комплекс программно-технических средств и организованных (процедурных) решений по защите информации от несанкционированного доступа (НСД) реализуется следующими действиями: • управлением доступом; • регистрацией и учетом; • применением криптографических средств; • обеспечением целостности информации. Можно отметить следующие формы контроля и разграничения доступа, нашедшие широкое применение на практике: 1. Предотвращение доступа: к жесткому диску; к отдельным разделам; к отдельным файлам; к каталогам; к гибким дискам; к сменным носителям информации. 2. Установка привилегий доступа к группе файлов. 3. Защита от модификации: • файлов; • каталогов. 4. Защита от уничтожения: • файлов; • каталогов. 5. Предотвращение копирования: • файлов; • каталогов; • прикладных программ. 6. Затемнение экрана по истечении времени, установленного пользователем. В обобщенном виде средства защиты данных приведены на рис. 23.
р
СРЕДСТВА ЗАЩИТЫ ДАННЫХ
УРОВНИ ЗАЩИТЫ
идентификация пользователя допуск в систему допуск к данным допуск к задачам
УРОВНИ ЗАЩИТЫ ДАННЫХ
ТИП ЗАМКА
ИДЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ
база данных
ключевой
одноуровневая
массив (файл)
процедурный
многоуровневая
набор
вид ПАРОЛЯ
статистический (ключ)
в момент открытия базы
разовый
в момент выдачи утверждения на обмен данными
изменяемый - пользователем - администратором
запись поле
Рис. 23
ДИНАМИЧЕСКАЯ ПРОВЕРКА ЗАЩИЩЕННОСТИ
Направления обеспечения информационной безопасности Средства защиты от копирования предотвращают использование ворованных копий программного обеспечения и являются в настоящее время единственно надежным средством — как защищающим авторское право программистов-разработчиков, так и стимулирующим развитие рынка. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального некопируемого элемента. Таким элементом (называемым ключевым) может быть дискета, определенная часть компьютера или специальное устройство, подключаемое к ПЭВМ. Защита от копирования реализуется выполнением ряда функций, являющихся общими для всех систем защиты: • идентификация среды, из которой будет запускаться программа; • аутентификация среды, из которой запущена программа; • реакция на запуск из несанкционированной среды; • регистрация санкционированного копирования; • противодействие изучению алгоритмов работы системы. Под средой, из которой будет запускаться программа, подразумевается либо дискета, либо ПЭВМ (если установка происходит на НЖМД). Идентификация среды заключается в том, чтобы некоторым образом поименовать среду с целью дальнейшей ее аутентификации. Идентифицировать среду — значит закрепить за ней некоторые специально созданные или измеренные редко повторяющиеся и трудно подделываемые характеристики — идентификаторы. Идентификация дискет может быть проведена двумя способами. Первый основан на нанесении повреждений на некоторую часть поверхности дискеты. Распространенный способ такой идентификации — «лазерная дыра». При таком способе дискета прожигается в некотором месте лазерным лучом. Очевидно, что сделать точно такую же дырку в дискете-копии и в том же
Глава 2 самом месте, как и на дискете-оригинале, достаточно сложно. Второй способ идентификации основан на нестандартном форматировании дискеты. Реакция на запуск из несанкционированной среды обычно сводится к выдаче соответствующего сообщения.
Одной из задач обеспечения безопасности для всех случаев пользования ПЭВМ является защита информации от разрушения, которое может произойти при подготовке и осуществлении различных восстановительных мероприятий (резервировании, создании и обновлении страховочного фонда, ведении архивов информации и других). Так как причины разрушения информации весьма разнообразны (несанкционированные действия, ошибки программ и оборудования, компьютерные вирусы и пр.), то проведение страховочных мероприятий обязательно для всех, кто пользуется персональными ЭВМ. Необходимо специально отметить опасность компьютерных вирусов. Многие пользователи ЭВМ (ПЭВМ) о них хорошо знают, а тот, кто с ними еще не знаком, скоро познакомится. Вирус компьютерный — небольшая, достаточно сложная, тщательно составленная и опасная программа, которая может самостоятельно размножаться, переносить себя на диски, прикрепляться к чужим программам и передаваться по информационным сетям. Вирус обычно создается для нарушения работы компьютера различными способами — от «безобидной» выдачи какоголибо сообщения до стирания, разрушения файлов. Основную массу вирусов создают люди, хулиганствующие программисты, в основном, чтобы потешить свое самолюбие или заработать деньги на продаже антивирусов. Антивирус — программа, обнаруживающая или обнаруживающая и удаляющая вирусы. Такие программы бывают специализированными и универсальными. Чем отличается универсальный антивирус от специализированного? Специализированный способен бороться только с уже написанны-
Направления обеспечения информационной безопасности ми, работающими вирусами, а универсальный — и с еще не написанными. К специализированным относится большинство антивирусных программ: AIDSTEST, VDEATH, SERUM-3, ANTI-KOT, SCAN и сотни других. Каждая из них распознает один или несколько конкретных вирусов, никак не реагируя на присутствие остальных. Универсальные антивирусы предназначены для борьбы с целыми классами вирусов. По назначению антивирусы универсального действия бывают довольно различны. Широкое применение находят резидентные антивирусы и программы-ревизоры. И те и другие антивирусные программы обладают определенными возможностями, положительными и отрицательными (недостатки) характеристиками. Специализированные при своей простоте слишком узко специализированы. При значительном разнообразии вирусов требуется такое же многообразие антивирусов. Помимо использования в интересах защиты от вирусов антивирусных программ широко используют и организационные меры безопасности. Для уменьшения опасности вирусных актов возможно предпринять определенные действия, которые для каждого конкретного случая могут быть сокращены или расширены. Вот некоторые из таких действий: 1. Информировать всех сотрудников предприятия об опасности и возможном ущербе в случае вирусных атак. 2. Не осуществлять официальные связи с другими предприятиями по обмену (получению) программным обеспечением. Запретить сотрудникам приносить программы «со стороны» для установки их в системы обработки информации. Должны использоваться только официально распространяемые программы. 3. Запретить сотрудникам использовать компьютерные игры на ПЭВМ, обрабатывающих конфиденциальную информацию. 4. Для выхода на сторонние информационные сети выделить отдельное специальное место. 5. Создать архив копий программ и данных. 6. Периодически проводить проверку контрольным суммированием или сравнением с «чистыми» програм- -. мами.
Глава 2 7. Установить системы защиты информации на особо важных ПЭВМ. Применять специальные антивирусные средства. Программная защита информации — это система специальных программ, включаемых в состав программного обеспечения, реализующих функции защиты информации.
2.3.5. Криптографические средства защиты Криптография как средство защиты (закрытия) информации приобретает все более важное значение в мире коммерческой деятельности. Криптография имеет достаточно давнюю историю. Вначале она применялась главным образом в области военной и дипломатической связи. Теперь она необходима в производственной и коммерческой деятельности. Если учесть, что сегодня по каналам шифрованной связи только у нас в стране передаются сотни миллионов сообщений, телефонных переговоров, огромные объемы компьютерных и телеметрических данных, и все это, что называется, не для чужих глаз и ушей, становится ясным: сохранение тайны этой переписки крайне необходимо. Что же такое криптография? Она включает в себя несколько разделов современной математики, а также специальные отрасли физики, радиоэлектроники, связи и некоторых других смежных отраслей. Ее задачей является преобразование математическими методами передаваемого по каналам связи секретного сообщения, телефонного разговора или компьютерных данных таким образом, что они становятся совершенно непонятными для посторонних лиц. То есть криптография должна обеспечить такую защиту секретной (или любой другой) информации, что даже в случае ее перехвата посторонними лицами и обработки любыми способами с использованием самых быстродействующих ЭВМ и последних достижений науки и техники, она не должна быть дешифрована в течение нескольких десятков лет. Для такого преобразования информации используются различные шифровальные средства — такие, как средства шифрования документов, в том числе
Направления
обеспечения
информационной
безопасности
и портативного исполнения, средства шифрования речи (телефонных и радиопереговоров), средства шифрования телеграфных сообщений и передачи данных.
Исходная информация, которая передается по каналам связи, может представлять собой речь, данные, видеосигналы, называется незашифрованными сообщениями Р (рис. 24). В устройстве шифрования сообщение Р шифруется (преобразуется в сообщение С) и передается по «незакрытому» каналу связи. На приемной стороне сообщение С дешифруется для восстановления исходного значения сообщения Р. Параметр, который может быть применен для извлечения отдельной информации, называется ключом. В современной криптографии рассматриваются два типа криптографических алгоритмов (ключей). Это классические криптографические алгоритмы, основанные на использовании секретных ключей, и новые криптографические алгоритмы с открытым ключом, основанные на использовании ключей двух типов: секретного (закрытого) и открытого. В криптографии с открытым ключом имеются по крайней мере два ключа, один из которых невозможно вычислить из другого. Если ключ расшифрования вычислительными методами невозможно получить из ключа зашифрования, то секретность информации, зашифрованной с помощью несекретного (открытого) ключа, будет обеспечена. Однако этот ключ должен быть защищен от подмены или модификации. Ключ расшифрования также должен быть секретным и защищен от подмены или модификации. Если, наоборот, вычислительными методами невозможно получить ключ зашифрования из ключа расшифрования, то ключ расшифрования может быть не секретным. Разделение функций зашифрования и расшифрования посредством разделения на две части дополнительной информации, требуемой для выполнения операций, является той ценной идеей, которая лежит в основе криптографии с открытым ключом.
МОДЕЛЬ КРИПТОГРАФИЧЕСКОЙ
СИСТЕМЫ
НЕЗАЩИЩЕННЫЙ КАНАЛ ПЕРЕДАЧИ ИНФОРМАЦИИ
вход
источник СООБЩЕНИЯ
ШИФРАТОР
ДЕШИФРАТОР
ПРИЕМНИК СООБЩЕНИЯ
ЗАЩИЩЕННЫЙ КАНАЛ ДЛЯ ПЕРЕДАЧИ КЛЮЧА
источник КЛЮЧА
выход
Направления обеспечения информационной безопасности Наиболее распространенным способом шифрования аналогового речевого сигнала является разделение его на части. В этом случае входной речевой сигнал поступает в полосовые фильтры для выделения полос шифруемого спектра. Выходной сигнал каждого фильтра в процессе шифрования подвергается либо перестановке по частоте, либо перевороту спектра (инверсия), либо и тому и другому одновременно. Затем синтезируется полный шифровальный выходной сигнал. По этому принципу работает система AVPS (Analog Voice Prived System) — речевой шифратор (скремблер), который осуществляет перестановку отдельных «вырезок» входного сигнала с помощью полосового фильтра — анализатора. Система имеет 12 ключей шифрования, обусловленных возможными перестановками, что обесдечивает надежность используемого метода. Система AVPS используется в реальном времени с любыми унифицированными телефонами. Качество шифрования речи высокое, сохраняется узнаваемость абонента. Находят очень широкое распространение цифровые системы шифрования речевых сигналов. Эти системы обеспечивают высокую надежность шифрования. В системах шифрования данных используются в основном две элементарные системы: 1. Перестановка (биты или подблоки внутри каждого блока входных данных переставляются). 2. Замещение (биты или подблоки внутри каждого блока входных данных заменяются). Разработано большое число алгоритмов шифрования. К числу наиболее эффективных относится алгоритм DES (Data Encryption Standart) — стандарт шифрования данных. Американское национальное бюро по стандартизации NBS узаконило алгоритм DES в качестве стандарта для систем связи. Механизм шифрования в этом алгоритме основывается на использовании ключа длиной 56 бит. Для защиты промышленной и коммерческой информации на международном и отечественном рынке
I
Глава 2
предлагаются различные технические устройства и комплекты профессиональной аппаратуры шифрования и криптозащиты телефонных и радиопереговоров, деловой переписки и пр. Широкое распространение получили скремблеры и маскираторы, заменяющие речевой сигнал цифровой передачей данных. Производятся средства защиты телетайпов, телексов и факсов. Для этих целей используются шифраторы, выполняемые в виде отдельных устройств, в виде приставок к аппаратам или встраиваемые в конструкцию телефонов, факс-модемов и других аппаратов связи (радиостанции и другие). Распространенность шифрования как средства обеспечения безопасности теми или иными средствами можно характеризовать следующими данными (рис. 25).
Рис. 25
Аппаратные, программные, программно-аппаратные и криптографические средства реализуют те или иные услуги информационной безопасности различными механизмами защиты информации, обеспечивающими соблюдение конфиденциальности, целостности, полноты и доступности.
96
Инженерно-техническая защита информации использует физические, аппаратные, программные и криптографические средства.
Направления обеспечения информационной безопасности
1. Комплексная безопасность информационных ресурсов достигается использованием правовых актов государственного и ведомственного уровня, организационных мер и технических средств защиты информации от различных внутренних и внешних угроз. 2. Правовые меры обеспечения безопасности и защиты информации являются основой порядка деятельности и поведения сотрудников всех уровней и степени их ответственности за нарушения установленных норм и правил работы по обеспечению сохранности коммерческих секретов. 3. Организационные меры являются решающим звеном в формировании и реализации комплексных мер защиты информации. Они, в первую очередь, выражаются в создании службы безопасности коммерческого предприятия и обеспечении ее нормального функционирования. 4. Инженерно-техническая защита — это использование различных технических средств в интересах обеспечения информационной безопасности.
4 Безопасность
Глава 3 СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ ЕСЛИ есть угроза — должны быть и средства защиты и противодействия
Способы — это порядок и приемы использования сил и средств для достижения поставленной цели по защите конфиденциальной информации.
Постулаты 1. Подальше положишь — поближе возьмешь. 2. Береженого Бог бережет. 3. На Бога надейся, а сам не плошай. 4. Сначала подумай, потом говори. 5. Не зная броду, не суйся в воду. 6. Семь раз отмерь, один раз отрежь. 7. Дело мастера боится. 8. Негоже, когда сапоги тачает пирожник, а пироги печет сапожник. 9. Отыщи всему начало, и ты многое поймешь (К. Прутков). Любое действие человека, ориентированное на достижение каких-либо результатов, реализуется определенными способами. Естественно, что имеющийся опыт по защите информации достаточно четко определил совокупность приемов, сил и средств, ориентированных на обеспечение информационной безопасности. С учетом этого можно так определить понятие способов защиты информации: способы защиты информации — это совокупность приемов, сил и средств, обеспечивающих конфиденциальность, целостность, полноту и доступность
Способы защиты информации информации и противодействие внутренним и внешним угрозам. Естественно предположить, что каждому виду угроз Присущи свои специфические способы, силы и средства.
• 3.1. Общие положения Обеспечение информационной безопасности достигается системой мер, направленных: • на предупреждение угроз. Предупреждение угроз — это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения; • на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению; • на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий; • на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий; • на ликвидацию последствий угроз и преступных действий и восстановление статус-кво (рис. 26). Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами. Предупреждение угроз возможно и путем получения (если хотите — и добывания) информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. Для этих целей необходима работа сотрудников службы безопасности с инфор- 99
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ Безопасность - состояние защищенности жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз
достигается
Предупреждением угроз
Выявлением угроз
Обнаружением угроз
Локализацией преступных действий
Ликвидацией последствий
Превентивные меры по обеспечению безопасности
Систематический контроль возможности появления реальных или потенциальных угроз
Своевременное определение реальных угроз и конкретных преступных действий
Меры по ликвидации угроз и конкретных преступлений
Устранение причиненного ущерба
Способы защиты информации маторами в и н т е р е с а х наблюдения и о б ъ е к т и в н о й оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований. В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников. Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции. Особое внимание в этом виде деятельности должно отводиться изучению собственных сотрудников. Среди них могут быть и недовольные, и неопытные, и «внедренные». Обнаружение угроз - это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов. В числе мероприятий по обнаружению угроз значительную роль могут сыграть не только сотрудники службы безопастности, но и сотрудники линейных подразделений и служб фирмы, а также технические средства наблюдения и обнаружения правонарушений. П р е с е ч е н и е или л о к а л и з а ц и я угроз — это действия, н а п р а в л е н н ы е н а у с т р а н е н и е д е й с т в у ю щ е й угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам. Ликвидация последствий имеет целью восстановление состояния, предшествовавшего наступлению угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва, и другое. Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:
Глава 3 • предотвращение разглашения и утечки конфиденциальной информации; • воспрещение несанкционированного доступа к источникам конфиденциальной информации; • сохранение целостности, полноты и доступности информации; • соблюдение конфиденциальности информации; • обеспечение авторских прав (рис. 27). Защита от разглашения сводится в общем плане к разработке перечня сведений, составляющих коммерческую тайну предприятия. Эти сведения должны быть доведены до каждого сотрудника, допущенного к ним, с обязательством этого сотрудника сохранять коммерческую тайну. Одним из важных мероприятий является система контроля за сохранностью коммерческих секретов. Защита от утечки конфиденциальной информации сводится к выявлению, учету и контролю возможных каналов утечки в конкретных условиях и к проведению организационных, организационно-технических и технических мероприятий по их ликвидации. Защита от несанкционированного доступа к конфиденциальной информации обеспечивается путем выявления, анализа и контроля возможных способов несанкционированного доступа и проникновения к источникам конфиденциальной информации, и реализацией организационных, организационно-технических и технических мероприятий по противодействию НСД(рис. 28). . На практике в определенной степени все мероприятия по использованию технических средств защиты информации подразделяются на три группы: • организационные (в части технических средств); • организационно-технические; • технические. Организационные мероприятия — это мероприятия ограничительного характера, сводящиеся в основном к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер. общем плане организационные мероприятия предусматривают проведение следующих действий:
ЦЕЛИ ЗАЩИТЫ ИНФОРМАЦИИ
Разглашения Утечки
Несанкционированного доступа
Целостности
Конфиденциальности
Полноты
Доступности
Достоверности
Авторских прав
Рис. 27
Р
ЗАЩИТНЫЕ ДЕЙСТВИЯ ОТ НЕПРАВОМЕРНОГО ОВЛАДЕНИЯ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ
ОТ РАЗГЛАШЕНИЯ
ОТ УТЕЧКИ
ОТ НСД
Перечень сведений, составляющих коммерческую тайну. Перечень доводится до каждого сотрудника
Выявление, учет и контроль возможных каналов утечки конфиденциальной информации в конкретных условиях защиты объекта
Выявление, анализ и контроль возможных способов несанкционированного доступа и проникновения к источникам конфиденциальной информации
Обязательство сотрудника по сохранению конфиденциальной информации в тайне Система контроля за сохранением коммерческой тайны
Организационные, организационнотехнические и технические мероприятия по защите информации от утечки по техническим каналам Эффективный контроль за состоянием мер защиты коммерческой тайны
Рис. 28
Организационные, организационнотехнические и технические меры противодействия НСД Строгая система контроля допуска и доступа к конфиденциальной информации на всех уровнях
Способы защиты информации • определение границ охраняемой зоны (территории); • определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории; • определение «опасных», с точки зрения возможности образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений; • выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников; • реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами (рис. 29). Организационные мероприятия выражаются в тех или иных ограничительных мерах. Можно выделить такие ограничительные меры, как территориальные, пространственные и временные. Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств. Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками. Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты (рис. 30). Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта/его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам. Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки конфи-
I МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ
ОРГАНИЗАЦИОННЫЕ
ОРГАНИЗАЦИОННОТЕХНИЧЕСКИЕ
ТЕХНИЧЕСКИЕ
- мероприятия ограничительного характера, сводящиеся к регламентации доступа и использования технических средств обработки информации
- обеспечивают блокирование возможных каналов утечки информации через технические средства с помощью специальных устройств, устанавливаемых на элементы конструкций зданий, помещений и технических средств обработки информации
- приобретение, установка и использование защищенных от ПЭМИН и акустических воздействий технических средств обработки информации
Рис. 29
ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ
ТЕРРИТОРИАЛЬНЫЕ ОГРАНИЧЕНИЯ
ПРОСТРАНСТВЕННЫЕ ОГРАНИЧЕНИЯ
ВРЕМЕННЫЕ ОГРАНИЧЕНИЯ
Умелое расположение РЭС на местности, исключающее перехват радиосигналов
Выбор направления излучения в сторону наименьшей возможности перехвата
Сокращение до минимума времени работы и работа условными фразами и кодами, режим сверхкратковременного излучения
Рис. 30
• •
Глава 3
денциальных сведений через технические средства обеспечения производственной и трудовой деятельности, а также противодействие техническим средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых на элементы конструкций зданий, помещений и технических средств, потенциально образующих каналы утечки информации. В этих целях возможно использование: • технических средств пассивной защиты, например, фильтров, ограничителей и тому подобных средств развязки акустических, электрических и электромагнитных систем защиты сетей телефонной связи, энергоснабжения, радио- и часофикации; • технических средств активной защиты: датчиков акустических шумов и электромагнитных помех. Организационно-технические мероприятия по защите информации можно подразделить на пространственные, режимные и энергетические. Пространственные меры выражаются в уменьшении ширины диаграммы направленности, ослаблении боковых и заднего лепестков диаграммы направленности излучения радиоэлектронных средств (РЭС). Режимные меры сводятся к использованию скрытых методов передачи информации по средствам связи: шифрование, квазипеременные частоты передачи и других. Энергетические — это снижение интенсивности излучения и работа РЭС на пониженных мощностях (рис. 31). Технические мероприятия — это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИН которых не превышают границу охраняемой территории. Технические мероприятия по защите конфиденциальной информации можно подразделить на скрытие, подавление и дезинформацию. Скрытие выражается в использовании радиомол.__ чания и создании пассивных помех приемным сред1110 ствам злоумышленников.
ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ
ПРОСТРАНСТВЕННЫЕ
РЕЖИМНЫЕ
Уменьшение ширины диаграммы направленности;
Использование скрытых передачи информации:
Ослабление боковых и заднего лепестков диаграммы направленности
- шифрование
ЭНЕРГЕТИЧЕСКИЕ
методов
- квазипеременные частоты
Рис. 31
Снижение интенсивности излучения и работа на пониженных мощностях
Р ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ
СКРЫТИЕ
ПОДАВЛЕНИЕ
ДЕЗИНФОРМАЦИЯ
Использование радиомолчания; создание пассивных помех
Создание активных помех
Организация ложной работы; изменение режимов использования частот и регламентов связи; показ ложных демаскирующих признаков
Рис. 32
Способы защиты информации Подавление — это создание активных помех средствам злоумышленников. Дезинформация — это организация ложной работы технических средств связи и обработки информации; изменение режимов использования частот и регламентов связи; показ ложных демаскирующих признаков деятельности и опознавания. Защитные меры технического характера могут быть направлены на конкретное техническое устройство или конкретную аппаратуру и выражаться в таких мерах, как отключение аппаратуры на время ведения конфиденциальных переговоров или использование тех или иных защитных устройств типа ограничителей, буферных средств, фильтров и устройств зашумления (рис. 32).
• 3.2. Характеристика защитных действий Защитные действия ориентированы на пресечение разглашения, защиту информации от утечки и противодействия несанкционированному доступу (рис. 33). Защитные действия, способы и мероприятия по обеспечению информационной безопасности можно классифицировать по основным характеристикам и объектам защиты по таким параметрам, например, как ориентация, характер угроз, направления, способы действий, охват, масштаб и другим. Защитные действия по ориентации можно классифицировать как действия, направленные на защиту персонала, материальных и финансовых средств и информации как ресурса. По направлениям — это правовая, организационная и инженерно-техническая защита. По способам — это предупреждение, выявление, обнаружение, пресечение и восстановление. По охвату защитные меры могут быть ориентированы на защиту территории фирмы, зданий, отдельных (выделенных) помещений, конкретных видов аппаратуры, или технических средств и систем, или отдельных элементов зданий, помещений, аппаратуры, опасных с точки зрения несанкционированного доступа к нк ним, или ... оборудования каналов утечки информации.
МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ
ОРГАНИЗАЦИОННЫЕ
ОРГАНИЗАЦИОННОТЕХНИЧЕСКИЕ
ТЕХНИЧЕСКИЕ
- мероприятия ограничительного характера, сводящиеся к регламентации доступа и использования технических средств обработки информации
- обеспечивают блокирование возможных каналов утечки информации через технические средства с помощью специальных устройств, устанавливаемых на элементы конструкций зданий, помещений и технических средств обработки информации
- приобретение, установка и использование защищенных от ПЭМИН и акустических воздействий технических средств обработки информации
Рис. 33
Способы защиты информации Применение защитных мер можно рассматривать и в пространственном плане. Так, например, известно, что распространение (разглашение, утечка или НСД) осуществляется от источника информации через среду к злоумышленнику (рис. 34). Источником информации могут быть люди, документы, технические средства, отходы и другое. Носителем информации может быть либо поле (электромагнитное, акустическое), либо вещество (бумага, материал, изделие и т. д.). Средой является воздушное пространство, жесткие среды (стены, коммуникации). Злоумышленник обладает необходимыми средствами приема акустической и электромагнитной энергии, средствами воздушного наблюдения и возможностью обрабатывать материально-вещественные формы представления информации. Чтобы исключить неправомерное овладение конфиденциальной информацией, следует локализовать (выключить, ослабить сигнал, зашифровать) источник информации. С увеличением масштабов распространения и использования ПЭВМ и информационных сетей усиливается роль различных факторов, вызывающих утечку, разглашение и несанкционированный доступ к информации. К ним относятся: • несанкционированные и злоумышленные действия персонала и пользователя; • ошибки пользователей и персонала; • отказы аппаратуры и сбои в программах; • стихийные бедствия, аварии различного рода и опасности. В соответствии с этим основными целями защиты информации в ПЭВМ и информационных сетях являются: • обеспечение юридических норм и прав пользователей в отношении ДОСТУПА к информационным и другим сетевым ресурсам, предусматривающее административный надзор за информационной деятельностью, включая меры четкой персональной ответственности за соблюдение правил пользования и режимов работы; • предотвращение потерь и утечки информации, перехвата и вмешательства на всех уровнях, для всех территориально разделенных объектов;
Глава 3
источник
Разглашение Утечка НСД
ЗЛОУМЫШЛЕННИК
Рис. 34
• обеспечение целостности данных на всех этапах и фазах их преобразования и сохранности средств программного обеспечения. В связи с тем, что информационная сеть, в отличие от автономной ПЭВМ, является территориально распределенной системой, она требует принятия специальных мер и средств защиты. Средства защиты должны предотвращать: • определение содержания передаваемых сообщений; • внесение изменений в сообщения; • необоснованный отказ в доступе; • несанкционированный доступ; • ложную инициализацию обмена; • возможность измерения и анализа энергетических и других характеристик информационной системы.
114
Если это нецелесообразно или невозможно, то нарушить информационный контакт можно за счет использования среды распространения информации. Например, при почтовой связи использовать надежного связного и доставить почтовое отправление абоненту, полностью исключив возможность несанкционированного доступа к нему со стороны. Или исключить возможность подслушивания путем использования специального помещения, надежно защищенного от такого вида НСД. И, наконец, можно воздействовать на злоумышленника или на его средства путем постановки активных средств воздействия (помехи). В каждом конкретном случае реализации информационного контакта используются и свои специфические способы воздействия как на источник, так и на среду и на злоумышленника. В качестве примера рассмотрим матрицу, характеризующую взаимосвязь це-
Способы защиты информации лей защиты информации и механизмов ее защиты в процессе телекоммуникационного обмена в распределенных автоматизированных системах (табл. 3). Одновременно на ней отражены и защитные возможности тех или иных механизмов.
115
Глава 3
Выводы 1. Многообразие условий, способствующих неправомерному овладению конфиденциальной информацией, вызывает необходимость использования не менее многообразных способов, сил и средств для обеспечения информационной безопасности. 2. Способы обеспечения информационной безопасности должны быть ориентированы на упреждающий характер действий, направляемых на заблаговременные меры предупреждения возможных угроз коммерческим секретам. 3. Основными целями защиты информации являются обеспечение конфиденциальности, целостности, полноты и достаточности информационных ресурсов. 4. Обеспечение информационной безопасности достигается организационными, организационно-техническими и техническими мероприятиями, каждое из которых обеспечивается специфическими силами, средствами и мерами, обладающими соответствующими характеристиками. 5. Совокупность способов обеспечения информационной безопасности может быть подразделена на общие и частные, применение которых обусловливается масштабностью защитных действий.
Глава 4 ПРЕСЕЧЕНИЕ РАЗГЛАШЕНИЯ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Люби молчать, нежели говорить
Пресечение разглашения конфиденциальной информации — это комплекс мероприятий, исключающих оглашение охраняемых сведений их владельцами.
Постулаты 1. 2. 3. 4. 5. 6. 7.
Мудр тот, кто умеет молчать. Слово — серебро, молчание — золото. Что у трезвого на уме, то у пьяного на языке. Язык мой — враг мой. Ешь суп с грибами и держи язык за зубами. Слово — не воробей, вылетит — не поймаешь. Нет ничего смутительнее многословия и зловреднее невоздержанного языка. 8. Наблюдающий за языком своим вовек не будет им обкраден.
Помня, что «болтун — находка для шпиона», следует учесть, что из всех условий, способствующих неправомерному овладению конфиденциальной информацией, излишняя болтливость собственных сотрудников фирмы составляет 32%. Это третья часть. Если еще добавить, что безответственный обмен опытом составляет 12%, то получается, что разглашение коммерческих секретов составляет почти половину (42%) угроз конфиденциальной информации. Это уже очень плохо! Умышленное разглашение производственных секретов обходится экономике США в 2 миллиарда долларов ежемесячно. Как установило в ходе недавнего опроса предприятий американское общество про-
Глава 4 мышленной безопасности (АСИС), число подобных инцидентов с 1993 года утроилось. Причин этого роста несколько. Лояльность одних служащих подрывает ужесточение дисциплины, других — перекупают конкуренты. Это касается в первую очередь высокотехнологичных отраслей. К конкурентам частенько попадают материалы о стратегии предприятий, результаты исследовательских и опытно-конструкторских работ, списки клиентов, заявки на'патенты, торговые марки и авторские права.
• 4.1. Общие положения Напомним, что РАЗГЛАШЕНИЕ — это умышленные или неосторожные действия должностных лиц и граждан, результатом которых явилось неправомерное оглашение конфиденциальных сведений, и как следствие — ознакомление с ними лиц, не допущенных к этим сведениям. Выражается разглашение в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и иных способах обмена деловой и научной информацией. С точки зрения инициативы образование информационного контакта и степени участия в нем компонентов коммуникации активной стороной выступает источник, т. е. владелец информации. Считается, что разглашение охраняемой информации может произойти при наличии ряда условий и обстоятельств служебного и личного характера. Причины разглашения, как правило, связаны с несовершенством разработанных норм по защите информации, а также нарушением этих норм (в том числе и несовершенных), отступлением от правил обращения с соответствующими документами и сведениями, содержащими конфиденциальную информацию. К факторам и обстоятельствам, приводящим к разглашению информациии, относятся: • недостаточное знание сотрудниками правил защиты конфиденциальной информации и непонимание (или недопонимание) необходимости тщательного их выполнения; • слабый контроль за соблюдением правил работы со сведениями конфиденциального характера; текучесть кадров, в том числе знающих сведения конфиденциального характера (рис. 35).
РАЗГЛАШЕНИЕ
- умышленное или неосторожное действие должностных лиц и граждан, которым в установленном порядке по работе были доверены соответствующие сведения, приведшее к ознакомлению с ними лиц, не допущенных к ним проявляется в виде
СООБЩЕНИЯ (передачи, предоставления)
ПЕРЕСЫЛКИ
ОПУБЛИКОВАНИЯ
УТЕРИ
КАНАЛЫ РАСПРОСТРАНЕНИЯ ИНФОРМАЦИИ
- это средства обмена деловой и научной информацией между субъектами деловых и личных отношений
НЕФОРМАЛЬНЫЕ
ФОРМАЛЬНЫЕ
Личное общение (встречи, переговоры, переписка и т.д.)
Деловые встречи, совещания, переговоры и т.д.
Выставки, семинары, конференции и другие массовые мероприятия
Обмен официальными, деловыми и научными документами
Средства массовой информации (печать, газеты, интервью, радио, телевидение и другие)
Средства передачи официальной информации (почта, телеграф, телефон и др.)
Пресечение разглашения конфиденциальной информации Разглашение конфиденциальной информации возможно: 1. При передаче информации по каналам электросвязи. 2. При сообщении, оглашении: • на деловых встречах и переговорах; • при деловой переписке; • на семинарах, симпозиумах, в печати и СМИ; • на выставках; • в судебных инстанциях и административных органах. 3. При пересылке документов: • по каналам почтовой связи; • нарочными, курьерами, попутчиками. 4. При опубликовании: • в печати; • в научных исследованиях и диссертациях. 5. При личном общении: • на встречах; • при телефонных переговорах. 6. При утере, утрате документов: • на работе; • за пределами службы. 7. При бесконтрольном оставлении документов: • на рабочем месте; • на экране ПЭВМ; • при ксерокопировании. 8. При бесконтрольной разработке документов: • необоснованное изготовление документов; • включение в обычные документы сведений конфиденциального характера; • черновики, наброски, испорченные варианты. 9. При бесконтрольном документообороте: • необоснованная рассылка документов; • необоснованное ознакомление с документами сотрудников и соисполнителей. 10. При бесконтрольном хранении и уничтожении документов. И. При бесконтрольном приеме поступающей документации. Известны формальные и неформальные каналы распространения информации (рис. 36). Это лишь беглое ознакомление с возможными направлениями, условиями и действиями, приводящими к разглашению конфиденциальной информации.
|
Глава 4
В жизни таких условий и направлений значительно больше и рассматривать их необходимо на конкретных объектах. В основу защиты информации от разглашения целесообразно положить: 1. Принцип максимального ограничения числа лиц, допущенных к работе с конфиденциальной информацией, так как степень ее сохранности находится в прямой зависимости от числа допущенных к ней лиц. 2. Принцип персональной ответственности за сохранность информации предполагает разработку мер, побуждающих сотрудников хранить секреты не только из-за боязни последствий за вольное или невольное раскрытие, но и обеспечивающих заинтересованность каждого конкретного работника в сохранении тайны.
122
Отсюда одним из направлений работы является работа с кадрами, воспитательно-профилактическая деятельность, которая включает в себя совокупность методов воздействия на сознание, чувство, волю и характер сотрудников в интересах формирования у них умения хранить тайну и строго соблюдать установленные правила работы с закрытой информацией. Главные направления этой деятельности: • привитие навыков предупреждения разглашения конфиденциальной информации; • повышение ответственности за сохранение секретов; • создание обстановки нетерпимости к фактам нарушения установленного порядка обеспечения информационной безопасности; • строгий контроль за всеми видами переговоров со сторонними организациями и их представителями; • контроль публикаций, выступлений, интервью и других форм общения по вопросам деятельности предприятия; • контроль разговоров в служебных помещениях и телефонных переговоров сотрудников на служебные темы; • изучение действий и поведения сотрудников во внеслужебное время, мест их пребывания, на-
Пресечение разглашения конфиденциальной информации клонностей, увлечений, пагубных привычек, трудового удовлетворения и другие. Естественно, что все эти действия должны проводиться в строгом соответствии с законодательными актами, с точным соблюдением прав и обязанностей сотрудников предприятия, без какого-либо вмешательства в личную жизнь. Подобные действия могут выполнять, например, частные детективы (сотрудники службы безопасности). Согласно Закону РФ «О частной детективной и охранной деятельности», им разрешается осуществлять следующие виды услуг: 1. Сбор сведений по гражданским делам. 2. Изучение рынка. 3. Сбор сведений о партнерах и конкурентах. 4. Выявление недобросовестных и неплатежеспособных партнеров. 5. Установление обстоятельств недобросовестной конкуренции. 6. Установление обстоятельств разглашения коммерческих секретов. Эти услуги реализуются с целью: 1. Поиска без вести пропавших. 2. Поиска утраченного имущества. 3. Выявления биографических данных, характеризующих граждан. 4. Изучения сведений по уголовным делам и другое. При этом частному детективу разрешается: 1. Устный опрос граждан и должностных лиц с их согласия. 2. Изучение предметов и документов с согласия их владельцев. 3. Наведение справок. 4. Внешний осмотр помещений и других объектов. 5. Наблюдение для получения необходимой информации. 6. Использование видео- и аудиозаписи, кино- и фотосъемки, технических и иных средств, не причиняющих вреда гражданам, оперативной связи. 7. Использование специальных средств личной безопасности. 123
Глава 4 Опыт работы по пресечению разглашения конфиденциальной информации позволяет разработать определенную систему мер по предотвращению разглашения на общем уровне рекомендаций в виде типового классификатора защитных действий по предотвращению разглашения конфиденциальной информации. Такой документ может быть детальным, если он будет привязан к конкретному объекту с акцентом на местные условия, учетом имеющихся средств, особенностей зданий и помещений. В качестве примера приведен вариант «Каталога защитных действий по пресечению разглашения конфиденциальной информации» на общем уровне рекомендаций (см. Приложение 14). С целью придания «Каталогу» практической значимости в интересах повседневного использования служба безопасности должна внести в него конкретные мероприятия с привязкой к конкретным условиям. Деятельность руководства предприятия и сотрудников службы безопасности по предупреждению разглашения охраняемых сведений включает в себя и обучение сотрудников, ознакомление их с законами, постановлениями, положениями, инструкциями, определяющими правовое отношение с государством и предприятием. Значительное место в работе с персоналом должно отводиться обучению методам и мерам обеспечения сохранности ценной информации. В процессе обучения необходимо добиваться, чтобы сотрудники четко знали категории охраняемых ими сведений, ценность этих данных, возможные способы и методы проникновения со стороны нарушителей, а также правила и процедуры их защиты. Следует особо обратить внимание на то, чтобы сотрудники осознанно понимали разумность и необходимость всех действующих элементов режима сохранения секретов. Следует использовать любую возможность для пропаганды обеспечения экономической безопасности предприятия; не забывать периодически вознаграждать сотрудников фирмы за успехи в этой работе; всемерно стимулировать заинтересованность и участие сотрудников в выполнении программы по обеспечению безопасности.
Пресечение разглашения конфиденциальной информации
• 4.2. Способы пресечения разглашения Важной составляющей обеспечения информационной безопасности фирмы является контроль лояльности ее персонала. Такая работа проводится как в целях упреждения преступных посягательств, так и для расследования конкретных случаев нанесения ущерба. Неотъемлемая часть этой работы — мониторинг телефонных переговоров, ведущихся из офиса. Осуществляется также акустический или визуально-акустический контроль разговоров и действий в служебных помещениях. Микрофонные системы акустического контроля бывают одномикрофонные и многомикрофонные. Используются мало- или микрогабаритные микрофоны, монтируемые скрытно, соединенные проводами с приемными средствами и средствами магнитной записи. Часто вблизи самого микрофона устанавливается малогабаритный усилитель с автономным или дистанционным питанием. Многомикрофонные системы акустического контроля объединяют несколько (от 2 до 16 и более) одномикрофонных устройств в комплексе. Центральной частью такого комплекса является концентратор, обеспечивающий коммутацию необходимых каналов, выбор режима контроля, запись сигналов на магнитофоны и прослушивание переговоров на встроенные динамики или головные телефоны. В качестве примера рассмотрим состав концентратора акустического контроля на четыре канала. Он имеет следующие возможности: • количество каналов — 4; • диапазон воспроизводимых частот — 30 Гц — 10 кГц; • выходная мощность — 0,2 Вт. Сканер представляет собой, кроме коммутатора, еще и усилитель низкой частоты с широкими возможностями регулировки уровня сигнала, регулировки НЧ и ВЧ полосы, системой автоматического сканирования каналов. В состав сканера входят магнитофоны для обеспечения записи акустических сигналов в режиме контроля. Расстояние от микрофонов до концентратора определяется конкретным изделием и может варьиро-
Глава 4
126
ваться от 300 до 3 — 5 тыс. метров. Концентратор устанавливается на посту контроля службы безопасности фирмы и позволяет прослушивать и записывать на аудиомагнитофон любой из контролируемых микрофонов. Аудиозапись ведется на специальные магнитофоны. Например, компактный магнитофон типа CRAJG J-109 предназначен для записи аудиосигналов в течение 10 часов (непрерывная запись в течение 3 часов) на стандартную кассету С-120. Магнитофон имеет систему активизации записи голосом (VOX) с регулировкой низкого и высокого порогов срабатывания, что значительно увеличивает общее время записи. Имеется встроенный микрофон, счетчик ленты. При мониторинге телефонных переговоров требуется иная аппаратура. При этом возможно использование как мобильных, так и стационарных средств. Последние можно подразделить на две основные группы: • телефонные коммутаторы; • автоматические системы мониторинга. Понимая всю важность соблюдения конфиденциальности мониторинга телефонных переговоров в пределах конкретного предприятия, Правительством РФ 22 марта 1995 г. было принято Постановление № 291, в котором указывается: «Лица, участвующие в мониторинге, обязаны сохранять государственную и коммерческую тайну, к которой они получили доступ». Телефонные коммутаторы используются для контроля небольшого числа телефонных линий (как правило, не более 20). Это стандартные изделия, выпускаемые в значительных количествах, имеющие определенный набор, позволяющий решить задачу мониторинга телефонных переговоров небольшого офиса. В качестве примера можно привести стационарный комплекс контроля телефонных переговоров «КТС-8» (фирмы «Гротек») (рис. 37). «КТС-8» позволяет прослушивать телефонные переговоры на любой из 8 линий и производить автоматическую запись двух из них на диктофоны. Однако такие устройства не обеспечивают эффективный контроль при значительном количестве телефонных точек в офисе, и тем более — в случае нали-
Пресечение разглашения конфиденциальной информации
Рис. 37
чия в организации офисной телефонной станции. Эта задача решается с помощью автоматических систем мониторинга. В литературе (Кащеев В.И. Мониторинг телефонной сети) показан пример такой системы. Состав ее приведен на рис. 38. Рассмотренные средства предполагают контроль со стороны службы безопасности за сотрудниками и их абонентами в целях выявления возможного разглашения ими коммерческих секретов. Однако неэтично контролировать свое собственное руководство (например, генерального директора). В этом случае следует обеспечить индивидуальную запись телефонных разговоров. первого лица в интересах самоконтроля (текущего и ретроспективного) на случайное (непреднамеренное) разглашение информации самим руководителем или его абонентами. Для этого используется перспективный диктофон типа MARANTZ PMD-201. Это профессиональный кассетный магнитофон, предназначенный для записи телефонных разговоров с микрофона или линейного входа. Используется стандартная кассета С-120. Запись длительностью до 4 часов. Питание от сети и от батареек, плавная регулировка скорости воспроизведения, регулятор тембра, встроенный микрофон, гнездо для подключения телефонной линии, счетчик ленты. Имеет гнездо для дистанционного включения. Для целей самоконтроля возможно использование любых других магнитофонов и диктофонов, имеющих гнездо подключения телефонной линии. Магнитофонная запись сегодня признается как подтверждающий материал не только в деятельности
127
I
Рис. 38. Автоматическая система мониторинга телефонных переговоров
Пресечение разглашения конфиденциальной информации службы безопасности, но и в судебной практике. В этом случае целесообразно вести такую запись при ведении «сомнительных» телефонных переговоров (выпытывание, угрозы), такие записи могут помочь при расследовании и даже при судебных разбирательствах. Так, в газете «Московская правда» 28 сентября 1993 г. в статье ««Помог» уладить конфликт» сказано: «...вина подсудимого была подтверждена материалами дела и в их числе звукозаписями телефонных разговоров между потерпевшей и подсудимым. В этих разговорах N подтверждал требование денег, говорил о возможности уничтожения имущества и о том, что имеет оружие». Сейчас магнитные фонограммы прочно вошли в уголовный процесс как вещественное доказательство. Суды всех без исключения инстанций (в том числе и с участием присяжных заседателей) принимают магнитные фонограммы как неоспоримое доказательство по делу. Экспертизу подлинности зафиксированной на пленке информации проводят эксперты экспертнокриминалистического центра МВД России. Почти во всех МВД, УВД созданы лаборатории видеофоноскопических экспертиз и исследований.
Выводы 1. Разглашение конфиденциальной информации является наиболее распространенным действием, приводящим к неправомерному оглашению охраняемых сведений. 2. К факторам и обстоятельствам, приводящим к разглашению информации, относятся: • недостаточная подготовленность сотрудников к соблюдению требований по защите конфиденциальной информации; • слабый контроль со стороны руководства и соответствующих служб за установленным порядком защиты информации. 3. Основными направлениями деятельности по пресечению разглашения охраняемых сведений являются, правовые и организационные меры по повышению ответственности сотрудников к соблюдению установленных мер и требований по защите конфиденциальной информации. 5 Безопасность
Глава 5 ЗАЩИТА ИНФОРМАЦИИ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ
Защита информации от утечки по техническим каналам — это комплекс организационных, организационно-технических и технических мероприятий, исключающих или ослабляющих бесконтрольный выход конфиденциальной информации за пределы контролируемой зоны. Постулаты
130
1. Безопасных технических средств нет. 2. Источниками образования технических каналов утечки информации являются физические преобразователи. 3. Любой электронный элемент при определенных условиях может стать источником образования канала утечки информации. 4. Любой канал утечки информации может быть обнаружен и локализован. «На каждый яд есть противоядие». 5. Канал утечки информации легче локализовать, чем обнаружить. Определив утечку информации как бесконтрольный выход охраняемых сведений за пределы организации или крута лиц, которым они были доверены по службе или стали известны в процессе работы, рассмотрим, что же способствует этому и по каким каналам осуществляется такая утечка.
Защита информации вт утечки ив техническим каналам В основе утечки лежит неконтролируемый перенос конфиденциальной информации посредством акустических, световых, электромагнитных, радиационных и других полей и материальных объектов. Что касается причин и условий утечки информации, то они, при всех своих различиях, имеют много общего. Причины связаны, как правило, с несовершенством норм по сохранению информации, а также нарушением этих норм (в том числе и несовершенных), отступлением от правил обращения с соответствующими документами, техническими средствами, образцами продукции и другими материалами, содержащими конфиденциальную информацию. Условия включают различные факторы и обстоятельства, которые складываются в процессе научной, производственной, рекламной, издательской, отчетной, информационной и иной деятельности предприятия (организации) и создают предпосылки для утечки информации. К таким факторам и обстоятельствам могут, например, относиться: • недостаточное знание работниками предприятия правил защиты информации и непонимание (или недопонимание) необходимости их тщательного соблюдения; • использование неаттестованных технических средств обработки конфиденциальной информации; • слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами; • текучесть кадров, в том числе владеющих сведениями конфиденциального характера. Таким образом, большая часть причин и условий, создающих предпосылки и возможность утечки конфиденциальной информации, возникает из-за недоработок руководителей предприятий и их сотрудников. Кроме того, утечке информации способствуют: • стихийные бедствия (шторм, ураган, смерч, землетрясение, наводнение); • неблагоприятная внешняя среда (гроза, дождь, снег); • катастрофы (пожар, взрывы); • неисправности, отказы, аварии технических средств и оборудования (рис. 39). 131
I УТЕЧКА
Бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена Образуется за счет неконтролируемых физических полей
ЭЛЕКТРОМАГНИТНЫХ
Рис. 39
РАДИАЦИОННЫХ, ТЕПЛОВЫХ и др.
Защита информации от утечки по техническим каналам
• 5.1. Общие положения Известно, что информация вообще передается полем или веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги с текстом. Но ни переданная энергия, ни посланное вещество сами по себе никакого значения не имеют, они служат лишь носителями информации. Человек не рассматривается как носитель информации. Он выступает субъектом отношений или источником. Основываясь на этом, можно утверждать, что по физической природе возможны следующие средства переноса информации: • световые лучи; • звуковые волны; • электромагнитные волны; • материалы и вещества. Иной возможности для переноса информации в природе не существует (рис. 40). Используя в своих интересах те или иные физические поля, человек создает определенную систему передачи информации друг другу. Такие системы принято называть системами связи. Любая система связи (система передачи информации) состоит из источника информации, передатчика, канала передачи информации, приемника и получателя сведений. Эти системы используются в повседневной практике в соответствии со своим предназначением и являются официальными средствами передачи информации, работа которых контролируется с целью обеспечения надежной, достоверной и безопасной передачи информации, исключающей неправомерный доступ к ней со стороны конкурентов. Однако существуют определенные условия, при которых возможно образование системы передачи информации из одной точки в другую независимо от желания объекта и источника. При этом, естественно, такой канал в явном виде не должен себя проявлять. По аналогии с каналом передачи информации такой канал называют каналом утечки информации. Он также состоит из источника сигнала, физической среды его распространения и приемной a
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ - физический путь от источника информации к злоумышленнику, посредством которого может быть осуществлен несанкционированный доступ к охраняемым сведениям
ВИЗУАЛЬНООПТИЧЕСКИЕ
ЭЛЕКТРОМАГНИТНЫЕ
АКУСТИЧЕСКИЕ
Рис. 40
МАТЕРИАЛЬНОВЕЩЕСТВЕННЫЕ
Защита информации от утечки по техническим каналам паратуры на стороне злоумышленника. Движение информации в таком канале осуществляется только в одну сторону —- от источника к злоумышленнику. На рис. 41 приведена структура канала утечки информации. СТРУКТУРА КАНАЛА УТЕЧКИ ИНФОРМАЦИИ
Под каналом утечки информации будем понимать физический путь от источника конфиденциальной информации к злоумышленнику, по которому возможна утечка или несанкционированное получение охраняемых сведений. Для возникновения (образования, установления) канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также соответствующие средства восприятия и фиксации информации на стороне злоумышленника. Применительно к практике с учетом физической природы образования каналы утечки информации можно разделить на следующие группы: • визуально-оптические; • акустические (включая и акустико-преобразовательные); • электромагнитные (включая магнитные и электрические); • материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного вида — твердые, жидкие, газообразные). Каждому виду каналов утечки информации свойственны свои специфические особенности. Визуально-оптические каналы — это, как правило, непосредственное или удаленное (в том числе и телевизионное) наблюдение. Переносчиком информации выступает свет, испускаемый источником конфиденциальной информации или отраженный от него в видимом, инфракрасном и ультрафиолетовом диапазонах.
135
КЛАССИФИКАЦИЯ ВИЗУАЛЬНО-ОПТИЧЕСКИХ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ
ПО ПРИРОДЕ ОБРАЗОВАНИЯ
ПО ДИАПАЗОНУ ИЗЛУЧЕНИЯ
ПО СРВДЕ РАСПРОСТРАНЕНИЯ
Видимая область
За счет отражения сетевой энер-
За счет собственного излучения объектов
ИК-область
УФ-область
Свободное пространство
Защита информации от утечки по техническим каналам Классификация визуально-оптических каналов приведена на рис. 42. Акустические каналы. Для человека слух является вторым по информативности после зрения. Поэтому одним из довольно распространенных каналов утечки информации является акустический канал. В акустическом канале переносчиком информации выступает звук, лежащий в полосе ультра (более 20 000 Гц), слышимого и инфразвукового диапазонов. Диапазон звуковых частот, слышимых человеком, лежит в пределах от 16 до 20 000 Гц, и содержащихся в человеческой речи — от 100 до 6000. Гц. Когда в воздухе распространяется акустическая волна, частицы воздуха приобретают колебательные движения, передавая колебательную энергию друг другу. Если на пути звука нет препятствия, он распространяется равномерно во все стороны. Если же на пути звуковой волны возникают какие-либо препятствия в виде перегородок, стен, окон, дверей, потолков и т. п., звуковые волны оказывают на них соответствующее давление, приводя их также в колебательный режим. Эти воздействия звуковых волн и являются одной из основных причин образования акустического канала утечки информации. Различают определенные особенности распространения звуковых волн в зависимости от среды. Это прямое распространение звука в воздушном пространстве, распространение звука в жестких средах (структурный звук) (рис. 43). Кроме того, воздействие звукового давления на элементы конструкции зданий и помещений вызывает их вибрацию. В свободном воздушном пространстве акустические каналы образуются в помещениях при ведении переговоров в случае открытых дверей, окон, форточек. Кроме того, такие каналы образуются системой воздушной вентиляции помещений. В этом случае образование каналов существенно зависит от геометрических размеров и формы воздуховодов, акустических характеристик фасонных элементов задвижек, воздухораспределителей и подобных элементов. Под структурным звуком понимают механические колебания в твердых средах. Механические колебания стен, перекрытий или трубопроводов, возникающие в
АКУСТИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ
За счет распространения акустических (механических) колебаний в свободном воздушном пространстве Преговоры на открытом пространстве Открытые окна, двери, форточки Вентиляционные каналы
За счет воздействия звуковых колебаний на элементы и конструкции зданий, вызывая их вибрации Стены, потолки, полы, окна, двери, короба вентиляционных систем Трубы водоснабжения, отопления, кондиционирования и др.
Рис. 43
За счет воздействия звуковых колебаний на технические средства обработки информации Микрофонный эффект Акустическая модуляция волоконно-оптических линий передачи информации
Защита информации от утечки по техническим каналам одном месте, передаются на значительные расстояния почти не затухая. Опасность такого канала утечки состоит в неконтролируемой дальности распространения звука. На рис. 44 представлена схема акустических и вибрационных каналов утечки информации, наглядно показывающая, как распределяются акустические колебания и структурный звук в жестких средах, в металлических конструкциях волновода и других элементах зданий и сооружений. Преобразовательный, а точнее, акусто-преобразовательный канал — это изменение тех или иных сигналов электронных схем под воздействием акустических полей. На практике такое явление принято называть микрофонным эффектом. Электромагнитные каналы. Переносчиком информации являются электромагнитные волны в диапазоне от сверхдлинных с длиной волны 10 000 м (частоты менее 30 Гц) до субмиллиметровых с длиной волны 1 — 0,1 мм (частоты от 300 до 3000 ГГц). Каждый из этих видов электромагнитных волн обладает специфическими особенностями распространения как по дальности, так и в пространстве. Длинные волны, например, распространяются на весьма большие расстояния, миллиметровые — наоборот, на удаление лишь прямой видимости в пределах единиц и десятков километров. Кроме того, различные телефонные и иные провода и кабели связи создают вокруг себя магнитное и электрическое поля, которые также выступают элементами утечки информации за счет наводок на другие провода и элементы аппаратуры в ближней зоне их расположения. Материально-вещественными каналами утечки информации выступают самые различные материалы в твердом, жидком и газообразном или корпускулярном (радиоактивные элементы) виде. Очень часто это различные отходы производства, бракованные изделия, черновые материалы и другое. Очевидно, что каждый источник конфиденциальной информации может обладать в той или иной степени какой-то совокупностью каналов утечки информации (рис. 45).
Распространение акустич еских колебаний Распространение вибрационных колебаний Микрофон подслушивания Вибродатчик подслушивания
Рис. 44, Схема акустических и вибрационных каналов утечки
КЛАССИФИКАЦИЯ ЭЛЕКТРОМАГНИТНЫХ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ
ПО СРЕДЕ РАСПРОСТРАНЕНИЯ
ПО ПРИРОДЕ ОБРАЗОВАНИЯ
ПО ДИАПАЗОНУ ИЗЛУЧЕНИЯ
Акустопреобразовательные
Сверхдлинные волны
Безвоздушное пространство
Электромагнитные излучения
Длинные волны
Воздушное пространство
Паразитные связи! и наводки I
Средние волны
Земная среда
Короткие волны
Водная среда
УКВ
Направляющие системы
источники ЭЛЕКТРОМАГНИТНЫХ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ
—
I АКУСТОЭЛЕКТРИЧЕСКИЕ ПРЕОБРАЗОВАТЕЛИ
ИЗЛУЧАТЕЛИ ЭЛЕКТРОМАГНИТНЫХ СИГНАЛОВ
ПАРАЗИТНЫЕ СВЯЗИ И НАВОДКИ
- Индуктивные
- По цепям питания
- Емкостные
- По цепям заземления
- Параметрические
- За счет взаимного влияния проводов и устройств
НИЗКОЧАСТОТНЫЕ •Усилители НЧ - Громкоговорители - НЧ линии связи
ВЧ генераторы НЧ усилители в режиме самовозбуждения
Защита информации вт утечки ив техническим каналам Широкое использование самых различных технических средств обеспечения производственной и научной деятельности и автоматизированной обработки привело к появлению группы каналов утечки информации, которые стали называться техническими. Переносчиками информации в них выступают побочные электромагнитные излучения и наводки различного происхождения: акусто-преобразовательные, излучательные и паразитные связи и наводки. Побочные электромагнитные излучения и наводки (ПЭМИН) присущи любым электронным устройствам, системам, изделиям по самой природе проявления. О том, что ПЭМИН могут образовать канал утечки информации, известно давно. Интересный факт имел место в 1884 году в Лондоне. Было обнаружено, что в телефонных аппаратах по улице Грей-Стоун-Роуд прослушиваются какие-то телеграфные передачи. Проверка показала, что причиной этих сигналов были заложенные неглубоко под землей телеграфные провода, идущие на большом протяжении параллельно телефонным проводам. Можно считать, что это был первый намек на возможность неконтролируемого получения информации (утечки) за счет побочных излучений. Современная предпринимательская деятельность немыслима без разнообразных технических средств и систем, предназначенных для приема, передачи и обработки информации. Физические процессы, происходящие в таких устройствах при их функционировании, создают в окружающем пространстве подобные акустические и электромагнитные излучения, которые в той или иной степени связаны с обрабатываемой информацией. Физические явления, лежащие в основе появления опасных излучений, имеют различный характер, тем не менее в общем виде утечка информации за счет подобных излучений может рассматриваться как непреднамеренная передача охраняемой информации по некоторой «побочной» системе связи. Следует отметить, что технические средства и системы могут не только непосредственно излучать в пространство сигналы, содержащие обрабатываемую информацию, но и улавливать за счет своих микрофонных или антенных свойств акустические или магнитные
I
Глава 5 (электромагнитные) излучения, преобразовывать их в электрические сигналы и передавать по своим линиям связи, как правило, бесконтрольно, что в еще большей степени повышает опасность утечки информации. Отдельные технические средства имеют в своем составе помимо подобных «микрофонов» и «антенн» высокочастотные или импульсные генераторы, излучения которых могут быть промодулированными различными сигналами, содержащими конфиденциальную информацию. Опасный «микрофонный эффект» (образование паразитного электрического сигнала) возникает в некоторых телефонных аппаратах даже при положенной микротелефонной трубке. Электромагнитные излучения могут образовываться и при самовозбуждении на радиочастотах звуковоспроизводящей и звукоусилительной аппаратуры. Анализ условий и причин образования источников появления ПЭМИН показал, что для этого имеется ряд причин и условий. К ним можно отнести несовершенство схемных решений, принятых для данной категории технических средств, и эксплуатационный износ элементов изделия (рис. 47).
Рис. 47. Причины возникновения технических каналов утечки информации
Защита информации от утечки по техническим каналам в общем плане сводится к следующим действиям: 1. Своевременному определению возможных кана144 лов утечки информации.
КЛАССИФИКАЦИЯ МАТЕРИАЛЬНО-ВЕЩЕСТВЕННЫХ КАНАЛОВ УТЕЧКИ
ПО ФИЗИЧЕСКОЙ ПРИРОДЕ
ПО ФИЗИЧЕСКОМУ
состоянию
ПО СРЕДЕ РАСПРОСТРАНЕНИЯ
1 Твердые массы
СП
—
Жидкости
—
Газообразные вещества
—
Химические
В земле
Биологические
В воде
Радиоактивные
В воздухе
1
Глава 5 2. Определению энергетических характеристик канала утечки на границе контролируемой зоны (территории, кабинета). 3. Оценке возможности средств злоумышленников обеспечить контроль этих каналов. 4. Обеспечению исключения или ослабления энергетики каналов утечки соответствующими организационными, организационно-техническими или техническими мерами и средствами.
• 5.2. Защита информации от утечки по визуально-оптическим каналам Защита информации от утечки по визуально-оптическому каналу — это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет распространения световой энергии.
5.2.1. Общие положения Человек видит окружающий его мир и предметы за счет отраженного от них света либо за счет их собственного излучения. Наиболее привычным для человека носителем информации об объектах его интересов является видимое человеческим глазом излучение. С помощью зрительной системы человек получает наибольший (до 90%) объем информации из внешнего мира. Соседние участки видимого спектра — инфракрасный и ультрафиолетовый — также несут существенную информацию об окружающих предметах, но она не может быть воспринята человеческим глазом непосредственно. Для этих целей используются различного рода преобразователи невидимого изображения в видимое — визуализация невидимых изображений. Окружающий нас мир освещается естественным светом (Солнце^ Луна, звезды) и искусственным освещением. Возможность наблюдения объектов определяется величиной падающего потока света (освещенность), отраженного от объекта света (отражающие свойства) и контрастом объекта на фоне окружающих его предметов.
Защита информации вт утечки пв техническим каналам В дневное время, когда освещенность создается светом Солнца, глаз человека обладает наибольшей цветовой и контрастной чувствительностью. В сумерки, когда солнечный диск постепенно уходит за линию горизонта, освещенность падает в зависимости от глубины погружения Солнца. Уменьшение освещенности вызывает ухудшение работы зрения, а следовательно, сокращение дальности и ухудшение цветоразличия. Эти физические особенности необходимо учитывать при защите информации от утечки по визуально-оптическим каналам.
5.2.2. Средства и способы защиты С целью защиты информации от утечки по визуально-оптическому каналу рекомендуется: • располагать объекты защиты так, чтобы исключить отражение света в стороны возможного расположения злоумышленника (пространственные ограждения); • уменьшить отражательные свойства объекта защиты; • уменьшить освещенность объекта защиты (энергетические ограничения); • использовать средства преграждения или значительного ослабления отраженного света: ширмы, экраны, шторы, ставни, темные стекла и другие преграждающие среды, преграды; • применять средства маскирования, имитации и другие с целью защиты и введения в заблуждение злоумышленника; • использовать средства пассивной и активной защиты источника от неконтролируемого распространения отражательного или излученного света и других излучений; • осуществлять маскировку объектов защиты, варьируя отражательными свойствами и контрастом фона; • применять маскирующие средства сокрытия объектов можно в виде аэрозольных завес и маскирующих сеток, красок, укрытий. В качестве оперативных средств сокрытия находят широкое применение аэрозольные завесы. Это взвешен-
Глава 5 ные в газообразной среде мельчайшие частицы различных веществ, которые в зависимости от размеров и агрегатного сочетания образуют дым, копоть, туман. Они преграждают распространение отраженного от объекта защиты света. Хорошими светопоглощающими свойствами обладают дымообразующие вещества. Аэрозольные образования в виде маскирующих завес обеспечивают индивидуальную или групповую защиту объектов и техники, в том числе и выпускаемую продукцию.
• 5.3. Защита информации от утечки по акустическим каналам Защита информации от утечки по акустическому каналу — это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических Полей.
5.3.1. Общие положения Основными мероприятиями в этом виде защиты выступают организационные и организационно-технические меры. Организационные меры предполагают проведение архитектурно-планировочных, пространственных и режимных мероприятий, а организационно-технические — пассивных (звукоизоляция, звукопоглощение) и активных (звукоподавление) мероприятий. Не исключается проведение и технических мероприятий за счет применения специальных защищенных средств ведения конфиденциальных переговоров (рис. 49). Архитектурно-планировочные меры предусматривают предъявление определенных требований на этапе проектирования зданий и помещений или их реконструкцию и приспособление с целью исключения или ослабления неконтролируемого распространения звуковых полей непосредственно в воздушном пространстве или в строительных конструкциях в виде структурного звука. Эти требования могут предусматривать как выбор расположения помещений в про-
АКУСТИЧЕСКАЯ
ЗАЩИТА
- совокупность мер, направленных на исключение возможности утечки конфиденциальной информации за счет акустических полей
ОРГАНИЗАЦИОННОГЕХНИЧЕСКИЕ МЕРЫ
ОРГАНИЗАЦИОННЫЕ МЕРЫ
Архитектурнопланировочные
Пространен венные
Пассивные
Режимные
Звукоизоляция
Звукопоглощение
Активные
Звукоподавление
Защищенные акустические системы
Глава 5 странственном плане, так и их оборудование необходимыми для акустической безопасности элементами, исключающими прямое или отраженное в сторону возможного расположения злоумышленника распространение звука. В этих целях двери оборудуются тамбурами, окна ориентируются в сторону охраняемой (контролируемой) от присутствия посторонних лиц территории и пр. Режимные меры предусматривают строгий контроль пребывания в контролируемой зоне сотрудников и посетителей. Организационно-технические меры предусматривают использование звукопоглощающих средств. Пористые и мягкие материалы типа ваты, ворсистые ковры, пенобетон, пористая сухая штукатурка являются хорошими звукоизолирующими и звукопоглощающими материалами — в них очень много поверхностей раздела между воздухом и твердым телом, что приводит к многократному отражению и поглощению звуковых колебаний. Для облицовки поверхностей стен и потолков широко используются специальные герметические акустические панели, изготавливаемые из стекловаты высокой плотности и различной толщины (от 12 до 50 мм). Такие панели обеспечивают поглощение звука и исключают его распространение в стеновых конструкциях. Степень звукопоглощения а, отражения и пропускания звука преградами характеризуется коэффициентами звукопоглощения, отражения Ь, пропускания t. Степень отражения и поглощения звуковой энергии определяется частотой звука и материалом отражающих (поглощающих) конструкций (пористостью, конфигурацией, толщиной). Устраивать звукоизолирующие покрытия стен целесообразно в небольших по объему помещениях, так как в больших помещениях звуковая энергия максимально поглощается, еще не достигнув стен. Известно, что воздушная среда обладает некоторой звукопоглощающей способностью и сила звука убывает в воздухе пропорционально квадрату расстояния от источника. Внутри помещения уровень громкости звучит выше, чем на открытом пространстве, из-за многократных
Защита информации от утечки по техническим к а ш а м отражений от различных поверхностей, обеспечивающих продолжение звучания даже после прекращения работы источника звука (реверберация). Уровень реверберации зависит от степени звукопоглощения. Величина звукопоглощения А определяется коэффициентом звукопоглощения а и размерами звукопоглощающей поверхности:
Значения коэффициентов звукопоглощения различных материалов известны. Для обычных пористых материалов — войлока, ваты, пористой штукатурки — оно колеблется в пределах а = 0,2 —0,8. Кирпич и бетон почти не поглощают звук (а = 0,01 — 0,03). Степень ослабления звука при применении звукопоглощающих покрытий определяется в децибелах. Например, при обработке кирпичных стен (а = = 0,03) пористой штукатуркой (а = 0,3) звуковое давление в помещении ослабляется на 10 дБ (8 = 101g °'3 |
5.3.2. Способы и средства защиты Для определения эффективности защиты звукоизоляции используются шумомеры. Шумомер — это измерительный прибор, который преобразует колебания звукового давления в показания, соответствующие уровню звукового давления. В сфере акустической защиты речи используются аналоговые шумомеры (рис.50). По точности показаний шумомеры подразделяются на четыре класса. Шумомеры нулевого класса служат для лабораторных измерений, первого — для натурных измерений, второго — для общих целей; шумомеры третьего класса используются для ориентированных измерений. На практике для оценки степени защищенности акустических каналов используются шумомеры второго класса, реже — первого. Измерения акустической защищенности реализуются методом образцового источника звука. Образцовым называется источник с заранее известным уровнем мощности на определенной частоте (частотах)
I
an го
Рис. 50. Блок-схема аналогового шумомера
Защита информации от утечки по техническим каналам Выбирается в качестве такого источника магнитофон с записанным на пленку сигналом на частотах 500 Гц и 1000 Гц, модулированным синусоидальным сигналом в 100 — 120 Гц. Имея образцовый источник звука и luyмомер, можно определить поглощающие возможности помещения, как показано на рис. 51.
Рис. 51
Величина акустического давления образцового источника звука известна. Принятый с другой стороны стены сигнал замерен по показаниям шумомера. Разница между показателями и дает коэффициент поглощения. В зависимости от категории выделенного помещения эффективность звукоизоляции должна быть разной. Рекомендуются следующие нормативы поглощения на частотах 500 и 1000 Гц соответственно (табл. 4). Таблица 4 Частота сигнала (Гц)
Категории помещений (дБ) коэфф. поглощения I
II
III
500
53
48
43
1000
56
51
46
Для проведенияоценочных измерений защищенности помещений от утечки по акустическим и вибрационным каналам используются так называемые элек-
153
Глава 5
154
тронные стетоскопы. Они позволяют прослушивать ведущиеся в помещении переговоры через стены, полы, потолки, системы отопления, водоснабжения, вентиляционные коммуникации и другие металлоконструкции. В качестве чувствительного элемента в них используется датчик, преобразующий механические колебания звука в электрический сигнал. Чувствительность стетоскопов колеблется от 0,3 до 1,5 v/дБ. При уровне звукового давления 34 — 60 дБ, соответствующем средней громкости разговора, современные стетоскопы позволяют прослушивать помещения через стены и другие ограждающие конструкции толщиной до 1,5 м. После проверки с помощью такого стетоскопа возможных каналов утечки принимаются меры по их защите. В качестве примера можно привести электронный стетоскоп «Бриз» («Элерон»). Рабочие диапазоны част1,5 300 — 4000 Гц, питание автономное. Предназначен для выявления вибрационно-акустических каналов утечки информации, циркулирующей в контролируемом помещении, через ограждения конструкции или коммуникации, а также для контроля эффективности средств защиты информации. В тех случаях, когда пассивные меры не обеспечивают необходимого уровня безопасности, используются активные средства. К активным средствам относятся генераторы шума — технические устройства, вырабатывающие шумоподобные электронные сигналы. Эти сигналы подаются на соответствующие датчики акустического или вибрационного преобразования. Акустические датчики предназначены для создания акустического шума в помещениях или вне их, а вибрационные — для маскирующего шума в ограждающих конструкциях. Вибрационные датчики приклеиваются к защищаемым конструкциям, создавая в Рис. 52. Защита окна них звуковые колебания посредством генератора шума (рис. 52).
Защита информации от утечки по техническим каналам В качестве примера генераторов шума можно привести систему виброакустического зашумления «Заслон» («Маском»). Система позволяет защитить до 10 условных поверхностей, имеет автоматическое включение вибропреобразователей при появлении акусРис. 53 тического сигнала. Эффективная шумовая полоса частот 100 — 6000 Гц (рис. 53). На рис. 54 приведен пример размещения в охраняемом помещении системы акустических и вибрационных датчиков.
Рис. 54. Вариант размещения датчиков акустической защиты
I
Глава 5
Современные генераторы шума обладают эффективной полосой частот в пределах от 100 — 200 Гц до 5000 — 6000 Гц. Отдельные типы генераторов имеют полосу частот до 10 000 Гц. Число подключаемых к одному генератору датчиков различно — от 1 — 2 до 20 — 30 штук. Это определяется назначением и конструктивным исполнением генератора. Используемые на практике генераторы шума позволяют защищать информацию от утечки через стены, потолки, полы, окна, двери, трубы, вентиляционные коммуникации и другие конструкции с достаточно высокой степенью надежности. В таблице 5 приведены технические характеристики акустических генераторов. Таблица 5
Итак, защита от утечки по акустическим каналам реализуется: • применением звукопоглощающих облицовок, специальных дополнительных тамбуров дверных проемов, двойных оконных переплетов; • использованием средств акустического зашумления объемов и поверхностей; • закрытием вентиляционных каналов, систем ввода в помещения отопления, электропитания, телефонных и радиокоммуникаций; • использованием специальных аттестованных помещений, исключающих появление каналов утечки информации.
156
Защита информации от утечки по техническим каналам
• 5.4. Защита информации от утечки по электромагнитным каналам Защита информации от утечки по электромагнитным каналам — это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счет электромагнитных полей побочного характера и наводок. Известны следующие электромагнитные каналы утечки информации: • микрофонный эффект элементов электронных схем; • электромагнитное излучение низкой и высокой частоты; • возникновение паразитной генерации усилителей различного назначения; • цепи питания и цепи заземления электронных схем; • взаимное влияние проводов и линий связи; • высокочастотное навязывание; • волоконно-оптические системы. Для защиты информации от утечки по электромагнитным каналам применяются как общие методы защиты от утечки, так и специфические — именно для этого вида каналов. Кроме того, защитные действия можно классифицировать на конструкторскотехнологические решения, ориентированные на исключение возможности возникновения таких каналов, и эксплуатационные, связанные с обеспечением условий использования тех или иных технических средств в условиях производственной и трудовой деятельности. Конструкторско-технологические мероприятия по локализации возможности образования условий возникновения каналов утечки информации за счет побочных электромагнитных излучений и наводок в технических средствах обработки и передачи информации сводятся к рациональным конструкторскотехнологическим решениям, к числу которых относятся:
Глава 5 экранирование элементов и узлов аппаратуры; ослабление электромагнитной, емкостной, индуктивной связи между элементами и токонесущими проводами; фильтрация сигналов в цепях питания и заземления и другие меры, связанные с использованием ограничителей, развязывающих цепей, систем взаимной компенсации, ослабителей по ослаблению или уничтожению ПЭМИН (рис. 55). СХЕМНО-КОНСТРУКТОРСКИЕ СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ
Экранирование
Заземление
Рис. 55
158
Экранирование позволяет защитить их от нежелательных воздействий акустических и электромагнитных сигналов и излучений собственных электромагнитных полей, а также ослабить (или исключить) паразитное влияние внешних излучений. Экранирование бывает электростатическое, магнитостатическое и электромагнитное. Электростатическое экранирование заключается в замыкании силовых линий электростатического поля источника на поверхность экрана и отводе наведенных зарядов на массу и на землю. Такое экранирование эффективно для устранения емкостных паразитных связей. Экранирующий эффект максимален на постоянном токе и с повышением частоты снижается. Магнитостатическое экранирование основано на замыкании силовых линий магнитного поля источника в толще экрана, обладающего малым магнитным со-
Защита информации от утечки по техническим каналам противлением для постоянного тока и в области низких частот. С повышением частоты сигнала применяется исключительно электромагнитное экранирование. Действие электромагнитного экрана основано на том, что высокочастотное электромагнитное поле ослабляется им же созданным (благодаря образующимся в толще экрана вихревым токам) полем обратного направления. Если расстояние между экранирующими цепями, проводами, приборами составляет 10% от четверти длины волны, то можно считать, что электромагнитные связи этих цепей осуществляются за счет обычных электрических и магнитных полей, а не в результате переноса энергии в пространстве с помощью электромагнитных волн. Это дает возможность отдельно рассматривать экранирование электрических и магнитных полей, что очень важно, так как на практике преобладает какое-либо одно из полей и подавлять другое нет необходимости. Заземление и металлизация аппаратуры и ее элементов служат надежным средством отвода наведенных сигналов на землю, ослабления паразитных связей и наводок между отдельными цепями. Фильтры различного назначения служат для подавления или ослабления сигналов при их возникновении или распространении, а также для защиты систем питания аппаратуры обработки информации. Для этих же целей могут применяться и другие технологические решения. Эксплуатационные меры ориентированы на выбор мест установки технических средств с учетом особенностей их электромагнитных полей с таким расчетом, чтобы исключить их выход за пределы контролируемой зоны. В этих целях возможно осуществлять экранирование помещений, в которых находятся средства сбольшим уровнем побочных электромагнитных излучений (ПЭМИ).
5.4.1. Защита от утечки за счет микрофонного эффекта Акустическая энергия, возникающая при разговоре, вызывает соответствующие колебания элементов электронной аппаратуры, что в свою очередь приво-
Глава 5 дит к появлению электромагнитного излучения или электрического тока. Наиболее чувствительными элементами электронной аппаратуры к акустическим воздействиям являются катушки индуктивности, конденсаторы переменной емкости, пьезо- и оптические преобразователи. Там, где имеются такие элементы, возможно появление микрофонного эффекта. Известно, что микрофонным эффектом обладают отдельные типы телефонных аппаратов, вторичные электрические часы системы часофикации, громкоговорители (динамики) систем радиофикации и громкоговорящей связи и другие виды технических и электронных средств обеспечения производственной и трудовой деятельности. Защита телефонного аппарата от утечки информации за счет микрофонного эффекта может быть обеспечена организационными или техническими мерами. Организационные меры могут быть следующие: • выключить телефонный аппарат из розетки. Этим просто исключается источник образования микрофонного эффекта; • заменить аппарат на защищенный (выпускаются Пермским телефонным заводом). Технические меры сводятся к включению в телефонную линию специальных устройств локализации микрофонного эффекта. Так, источником возникновения микрофонного эффекта телефонного аппарата является электромеханический звонок колокольного типа. Под воздействием на него акустических колебаний на выходе его катушки возникает ЭДС микрофонного эффекта (Емэ). В качестве защитных мер используются схемы подавления этой ЭДС. На рис. 56 приведена одна из возможных схем подавления Емэ звонковой цепи ТА. В звонковую цепь включаются два диода, образующие схему подавления Емэ. Для малых значений Емэ такая схема представляет собой большое сопротивление, тогда как для речевого сигнала, значительно большего по величине, схема открывается и речевой сигнал свободно проходит в линию. По существу, эта схема выполняет роль автоматического клапана: малую
Защита информации от утечки по техническим каналам
Рис. 56. Схема подавления ЭДС микрофонного эффекта звонковой цепи ТА
ЭДС блокирует, а речевой сигнал разговора абонента пропускает. Находят применение и более сложные схемы (рис. 57). Основное отличие этой схемы от предыдущей заключается в использовании двух пар диодов и фильтра высоких частот. Обе рассмотренные схемы предотвращают возможность образования утечки информации за счет микрофонного эффекта телефонного аппарата с положенной на рычаг телефонной трубкой.
Рис. 57 6 Безопасность
161
Глава 5 Схемы подавления микрофонного эффекта исполняются в виде различных по конструкции аппаратных решений. В последнее время такие схемы стали выполняться в виде телефонной розетки, что позволяет скрывать их наличие от «любопытных» глаз. Защита абонентского громкоговорителя радиовещательной сети или сети диспетчерского вещания осуществляется включением в разрыв сигнальной линии специального буферного усилителя, нагрузкой которого является однопрограммный абонентский громкоговоритель (динамик) (рис. 58).
Такой усилитель обеспечивает ослабление Емэ на выходе громкоговорителя порядка 120 дБ. При таком подавлении говорить перед громкоговорителем, по существу, можно с любой громкостью. Для трехпрограммных громкоговорителей такое устройство необходимо только для низкочастотного (прямого) канала вещания, для остальных (высокочастотных) роль буфера будет выполнять усилитель преобразователя. Блокирование канала утечки информации за счет микрофонного эффекта вторичных электрочасов системы централизованной часофикации осуществляется с помощью фильтров звуковых частот, обладающих очень сильным ослаблением частот в диапазоне 700 — 3400 Гц. Как правило, стремятся использовать фильтры с коэффициентом ослабления 162не менее 120 дБ.
Защита информации от утечки по техническим каналам Из вышеизложенного можно заключить, что микрофонный эффект присущ самым различным техническим средствам. И прежде чем приступать к использованию защитных мер, очевидно, следует как-то узнать, имеется ли в данном конкретном устройстве этот самый эффект. Испытания и исследование технических средств на наличие в них микрофонного эффекта проводится на специальных испытательных стендах с использованием высококачественной испытательной аппаратуры. В качестве примера комплекта испытательной аппаратуры можно рассмотреть возможности и технические характеристики одного из таких комплектов. Комплект аппаратуры используется при разработке, испытаниях и контроле качества электроакустических и электромеханических преобразователей: телефонных аппаратов, громкоговорителей, микрофонов, наушников, слуховых аппаратов и т. д. Специальные исследования проводятся по следующей схеме (рис. 59). Аппаратура позволяет определить передаточные характеристики исследуемых технических средств, их эквивалентные схемы, характеристики микрофонного эффекта и другие параметры; обеспечивает измерение характеристик приема, передачи и слышимости собственного микрофона, а также обратные потери, шум и искажения.
Рис. 59. Примерная схема испытаний телефонного аппарата
Глава S 5.4.2. Защита от утечки за счет электромагнитного излучения Электронные и радиоэлектронные средства, особенно средства электросвязи, обладают основным электромагнитным излучением, специально вырабатываемым для передачи информации, и нежелательными излучениями, образующимися по тем или иным причинам конструкторско-технологического характера. Нежелательные излучения подразделяются на побочные электромагнитные излучения (ПЭМИ), внеполосные и шумовые. И те и другие представляют опасность. Особенно опасны ПЭМИ. Они-то и являются источниками образования электромагнитных каналов утечки информации. Каждое электронное устройство является источником электромагнитных полей широкого частотного спектра, характер которых определяется назначением и схемными решениями, мощностью устройства, материалами, из которых оно изготовлено, и его конструкцией. Известно, что характер электромагнитного поля изменяется в зависимости от дальности его приема. Это расстояние делится на две зоны: ближнюю и дальнюю. Для ближней зоны расстояние г значительно меньше длины волны (г > X) поле носит явный электромагнитный характер и распространяется в виде плоской волны, энергия которой делится поровну между электрическим и магнитным компонентами. С учетом этого можно считать возможным образование канала утечки в ближней зоне за счет магнитной составляющей, а в дальней — за счет электромагнитного излучения. В результате перекрестного влияния электромагнитных полей одно- или разнородного радио- и электротехнического оборудования в энергетическом помещении создается помехонесущее поле, обладающее магнитной и электрической напряженностью. Значение (величина) и фазовая направленность этой напряженности определяется числом и интенсивностью источников электромагнитных полей; размерами помещения, в котором размещается оборудование; мате-
Защита информации от утечки по техническим каналам риалами, из которых изготовлены элементы оборудования и помещения. Очевидно, чем ближе расположено оборудование относительно друг друга, чем меньше размеры помещения, тем больше напряженность электромагнитного поля. В отношении энергетического помещения необходимо рассматривать две области распространения поля: • внутри энергетического помещения (ближнее поле); • за пределами помещения (дальнее поле). Ближнее поле определяет электромагнитную обстановку в энергетическом помещении, а дальнее электромагнитное поле — распространение, дальность действия которого определяется диапазоном радиоволн. Ближнее поле воздействует путем наведения электромагнитных полей в линиях электропитания, связи и других кабельных магистралях. Суммарное электромагнитное поле имеет свою структуру, величину, фазовые углы напряженности, зоны максимальной интенсивности. Эти характеристики присущи как ближнему, так и дальнему полю. В настоящее время напряженность внешних электромагнитных полей определяется с большой точностью: разработаны как аналитические, так и инструментальные методы. А вот напряженность суммарного поля, определяющая электромагнитную обстановку в энергетическом помещении, рассчитывается не достаточно строго. Нет пока четких методик расчета и методов инструментального измерения. Таким образом, электромагнитную обстановку в помещении определяют следующие факторы: • размеры и формы помещений; • количество, мощность, режим работы и одновременность использования аппаратуры; • материалы, из которых изготовлены элементы помещений и технические средства. В качестве методов защиты и ослабления электромагнитных полей энергетического помещения используется установка электрических фильтров, применяются пассивные и активные экранирующие устройства и специальное размещение аппаратуры и оборудования.
165
Ш
Установка экранирующих устройств может производиться либо в непосредственной близости от источника излучения, либо на самом источнике, либо, наконец, экранируется помещение, в котором размещены источники электромагнитных сигналов. Рациональное размещение аппаратуры и технических средств в энергетическом помещении может существенно повлиять как на результирующую напряженность электромагнитного поля внутри помещения, так и на результирующее электромагнитное поле за его пределами. Рациональное размещение предполагает перестановку отдельных элементов оборудования помещений или отдельных групп аппаратов и технических средств с тем, чтобы новое расположение приводило к взаимокомпенсации напряженности электромагнитных полей опасных сигналов в заданных зонах. Рациональное размещение аппаратуры в отдельных случаях может оказаться определяющим. Для реализации мероприятий по рациональному размещению аппаратуры и иного оборудования энергетических помещений с точки зрения ослабления ПЭМИН необходимо: • иметь методику расчета электромагнитных полей группы источников опасных сигналов; • иметь методы формализации и алгоритмы решения оптимизационных задач размещения аппаратуры. Мероприятия по защите информации от ее утечки за счет электромагнитных излучений прежде всего включают в себя мероприятия по воспрещению возможности выхода этих сигналов за пределы зоны и мероприятия по уменьшению их доступности. Развернутая структура и краткое содержание этих мероприятий приведены на рис. 60. Следует отметить степень опасности электромагнитных излучений при реализации мероприятий по защите информации. Так как это электромагнитные волны, то особенности их распространения в пространстве по направлению и по дальности определяются диапазоном частот (длин волн) и мощностью излучения. Дальность и направленность излучения определяются физической природой распространения со-
ОРГАНИЗАЦИОННЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ УТЕЧКИ ЗА СЧЕТ ЭЛЕКТРОМАГНИТНОГО ИЗЛУЧЕНИЯ
Уменьшение доступности
Воспрещение
Исключение излучения
Использование экранированных помещений
Расширение контролируемой зоны
Уменьшение дальности распространения
Использование пространственной ориентации
Выбор режимов работы
Уменьшение мощности
Выбор безопасных районов расположения
Сокращение времени работы
Снижение высоты
Безопасная ориентация основного лепестка ДН
Использование известных режимов работы
Использование остронаправленных антенн
Использование расчетных методов
Подавление боковых и заднего лепестков ДН
;
Глава 5
ответствующего вида электромагнитных волн и пространственного расположения источника опасного сигнала и средств его приема. Учитывая особенности распространения электромагнитных колебаний, определяющихся прежде всего мощностью излучения, особенностями распространения и величинами поглощения энергии в среде распространения, правомерно ставить вопрос об установлении их предельно допустимых интенсивностей (мощностей), потенциально возможных для приема средствами злоумышленников. Эти допустимые значения интенсивностей принято называть нормами или допустимыми значениями. Процесс определения или выработки норм называется нормированием, которое включает прежде всего, собственно, выбор критерия нормирования, выбор и обоснование нормируемого параметра и определение его предельно допустимого значения. Нормы могут быть международные, федеральные и отраслевые. Не исключается наличие специальных норм для конкретных изделий и предприятий. Защита от утечки информации за счет побочных электромагнитных излучений самого различного характера предполагает: • размещение источников и средств на максимально возможном удалении от границы охраняемой (контролируемой) зоны; • экранирование зданий, помещений, средств кабельных коммуникаций; • использование локальных систем, не имеющих выхода за пределы охраняемой территории (в том числе систем вторичной часофикации, радиофикации, телефонных систем внутреннего пользования, диспетчерских систем, систем энергоснабжения и т. д.); • развязку по цепям питания и заземления, размещенных в границах охраняемой зоны; • использование подавляющих фильтров в информационных цепях, цепях питания и заземления. Для обнаружения и измерения основных характеристик ПЭМИ используются: • измерительные приемники; 168 • селективные вольтметры;
Защита информации от утечки ив техническим каналам • анализаторы спектра; • измерители мощности и другие специальные устройства. В качестве примера приведем характеристики отдельных измерительных приемников и селективных вольтметров (табл. б). Таблица 6 Диапазон частот
Пределы измерения мощности
П5-34
8,24-12,05 ГГц
3 1 0 - 1 2 - 1 0 - 4 Вт
П5-14
16,6-25,8 ГГц
1 0 - 1 2 - 1 0 - 6 Вт
Тип
В6-9 В6-10 SMV-II
20 Гц — 200 кГц 0,1-30 МГц 0,01-30
МГц
1 мкВ — 1 В 1 мкВ — 1 В 0,3 мкВ — 0,6 В
Используя измерительные приемники и селективные вольтметры, измеряют мощность (или напряженность) излучения на границе контролируемой зоны, определяют соответствие ее допустимым нормам. Если нормы не выполняются, то принимают меры по ослаблению мощности излучения. В качестве примера измерительных приемников рассмотрим программно-аппаратный комплекс «Зарница». Он предназначен для автоматизации измерений при проведении исследований и контроля технических средств ЭВТ. Обеспечивает: измерение параметров побочных электромагнитных излучений (ПЭМИ), обработку результатов измерений, выполнение необходимых расчетов и выпуск отчетной документации при проведении исследований и контроля технических средств ЭВТ. Достоинства: повышение достоверности и эффективности проведения (специальных) исследований за счет автоматизации процессов измерения, выявления информативных сигналов, обработки полученных результатов в соответствии с действующими нормативно-методическими документами, выпуска отчетной до-
169
I
Глава 5 кументации; снижение трудозатрат на проведение исследований. При адаптации программного обеспечения комплекс может быть использован для р е ш е н и я задач в области э л е к т р о м а г н и т н о й совместимости (ЭМС), радионаблюдения и анализа электромагнитной обстановки при проведении испытаний. Технические данные: • и з м е р е н и е н а п р я ж е н н о с т и электромагнитного поля П Э М И от технических средств ЭВТ; • работа в диапазоне частот: а) при измерении напряженности магнитной составляющей поля ПЭМИ от 0,01 до 30 МГц; б) при измерении напряженности электрической составляющей поля ПЭМИ от 0,01 до 1000 МГц; • одновременное независимое управление анализаторами спектра СК4-59 и СК4-61; • вывод на экран монитора и принтер результатов регистрации протоколов расчетов; • обработка результатов измерений и проведение расчетов в соответствии с действующими нормативно-методическими документами. Гарантийный срок эксплуатации— 1 год (за исключением изделий внешней поставки). Состав системы: • ПЭВМ типа IBM PC/AT — 1 шт.; • Анализатор спектра СК4-59— 1 шт.; • Анализатор спектра СК4-61 — 1 шт.; • Комплект входных преобразователей «АМУР-М» — 1 шт.; • Контроллер управления АС — 2 шт.; • Пакет прикладных программ — 1 комп.
5.4.3. Защита от утечки за счет паразитной генераций
1/
Паразитная генерация усилителей возникает изза неконтролируемой положительной обратной связи за счет конструктивных особенностей схемы или за счет старения элементов. Самовозбуждение может возникнуть и при отрицательной обратной связи из-за того, что на частоты, где усилитель вместе с цепью обратной связи вносит
Защита информации от утечки по техническим каналам сдвиг фазы на 180°, отрицательная обратная связь превращается в положительную. Самовозбуждение усилителей обычно происходит на высоких частотах, выходящих за пределы рабочей полосы частот (вплоть до KB и УКВ диапазонов). Частота самовозбуждения модулируется акустическим сигналом, поступающим на усилитель, и излучается в эфир как обычным радиопередатчиком. Дальность распространения такого сигнала определяется мощностью усилителя (т. е. передатчика) и особенностями диапазона радиоволн. В качестве защитных мер применяется контроль усилителей на самовозбуждение с помощью радиоприемников типа индикаторов поля, работающих в достаточно широком диапазоне частот, что обеспечивает поиск опасного сигнала.
5.4.4. Защита от утечки по ЦЕПЯМ питания Циркулирующая в тех или иных технических средствах конфиденциальная информация может попасть в цепи и сети электрического питания и через них выйти за пределы контролируемой зоны. Например, в линию электропитания высокая частота может передаваться за счет паразитных емкостей трансформаторов блоков питания (рис. 61). В качестве мер защиты широко используются методы развязки (разводки) цепей питания с помощью отдельных стабилизаторов, преобразователей, сетевых фильтров для отдельных средств или помещений. Возможно использование отдельных трансформаторных
Рис. 61. Схема утечки информации по цепям питания
|/|
Глава 5 узлов для всего энергоснабжения объекта защиты, расположенного в пределах контролируемой территории. Это более надежное решение локализации данного канала утечки.
5.4.5. Защита от утечки по цепям заземления Одним из важных условий защиты информации от утечки по цепям заземления является правильное их оборудование. Заземление — это устройство, состоящее из заземлителей-проводников, соединяющих заземлители с электронными и электрическими установками, приборами, машинами. Заземлители могут быть любой формы — в виде трубы, стержня, полосы, листа. Заземлители выполняют защитную функцию и предназначаются для соединения с землей приборов защиты. Отношение потенциала заземлителя к стекающему с него току называется сопротивлением заземления. Величина заземления зависит от удельного сопротивления грунта и площади соприкосновения заземления с землей (рис. 62).
Рис. 62. Эквивалентная схема заземления Сопротивление заземления одного контура не должно быть более 1 ома. Если заземление состоит из металлической пластины радиуса г, расположенной непосредственно у поверхности земли, то сопротивление заземления рассчитывается по формуле:
172
R 3 = р/4 г, где р — удельное сопротивление грунта, Ом/см 3 ; г — радиус пластины, см; R3 — сопротивление заземлителя, Ом.
Защита информации вт утечки по техническим каналам ДЛЯ практических расчетов удельное сопротивление грунтов можно выбрать из таблицы 7. Таблица 7 Грунт Смешанный
3
г — Ом/см X 10 1
Чернозем
30
Глина
40
Супесок
30
Суглинок
10
Песок влажный
50
Песок сухой
3
2500
При устройстве заземления в качестве заземлителей чаще всего применяются стальные трубы длиной 2 —3 м и диаметром 25 — 50 мм и стальные полосы сечением 50—100 мм 2 . Заземлители следует соединять между собой шинами с помощью сварки. Сечение шин и магистралей заземления по условиям механической прочности и получения достаточной проводимости рекомендуется брать не менее 24 х 4 мм 2 . Магистрали заземления вне здания надо прокладывать на глубине около 1,5 м, а внутри здания — по стенам или специальным каналам таким образом, чтобы их можно было внешне осматривать на целостность и на наличие контактного подключения. Следует отметить, что использовать в качестве заземления металлические конструкции зданий и сооружений, имеющих соединения с землей (отопление, водоснабжение), не рекомендуется.
5.4.G. Защита от утечки за счет взаимного влияния проводов и линий связи
Элементы, цепи, тракты, соединительные провода и линии связи любых электронных систем и схем постоянно находятся под воздействием собственных (внутренних) и сторонних (внешних) электромагнитных полей различного происхождения, индуцирующих или наводящих в них значительные напряжения. Та-
173
кое воздействие называют электромагнитным влиянием или просто влиянием на элементы цепи. Коль скоро такое влияние образуется непредусмотренными связями, то говорят о паразитных (вредных) связях и наводках, которые также могут привести к образованию каналов утечки информации. Основными видами паразитных связей в схемах электронных устройств являются емкостные, индуктивные, электромагнитные, электромеханические связи и связи через источники питания и заземления радиоэлектронных средств. Паразитные емкостные связи обусловлены электрической емкостью между элементами, деталями и проводниками устройств, несущих потенциал сигнала, так как сопротивление емкости, создающей паразитную емкостную связь, падает с ростом частоты (Хс — 1/тпс). Паразитные индуктивные связи обусловлены наличием взаимоиндукции между проводниками и деталями аппаратуры, главным образом между его трансформаторами. Паразитная индуктивная обратная связь между трансформаторами усилителя, например, между входным и выходным трансформаторами, может вызвать режим самовозбуждения в области рабочих частот и гармониках. Паразитные электромагнитные связи обычно возникают между выводными проводниками усилительных элементов, образующими колебательную систему с распределенными параметрами и резонансной частотой определенного порядка.
Взаимные влияния в линиях евязи Рассмотрим, какое влияние друг на друга оказывают параллельно проложенные линии связи. В теории взаимных влияний между цепями линий связи приняты следующие основные определения: • влияющая цепь — цепь, создающая первичное влияющее электромагнитное поле; • цепь, подверженная влиянию, — цепь, на которую воздействует влияющее электромагнитное поле; • непосредственное влияние — сигналы, индуцируемые непосредственно электромагнитным полем влияющей цепи в цепь, подверженную влиянию.
Защита информации от утечки но техническим каналам Помимо непосредственного влияния имеют место косвенные влияния вторичными полями за счет отражений. В зависимости от структуры влияющего электромагнитного поля и конструкции цепи, подверженной влиянию, различают систематические и случайные влияния. К систематическим влияниям относят взаимные наводки, возникающие по всей длине линии. К случайным относятся влияния, возникающие вследствие ряда случайных причин, не поддающихся точной оценке. Существуют реальные условия наводок с одного неэкранированного провода на другой, параллельный ему провод той же длины, когда оба они расположены над «землей». На рис. 63 приведены характеристики наводок. Наводка, Дб - 4 0 --
-140 10*
3
10
10
4
10»
Рис. 63. Наводка на не экранированный провод от другого неэкранированного провода при неидеальной «земле» (кривая 1) и идеальной (кривая 2)
В реальных условиях имеют место наводки и от экранированных кабелей на экранированные кабели и от неэкранированных кабелей на экранированные. На рис. 64 приведены практические результаты исследования взаимных наводок экранированных кабелей друг на друга. Таким образом, можно заключить, что излучений и наводки от различных технических средств далеко не
175
Глава 5
Рис. 64. Взаимные наводки
176
экранированных кабелей
безопасны. Небезопасны излучения и наводки кабельных сетей как неэкранированных, так и экранированных. Для последних требуется хорошее состояние экрана и качественное заземление. На практике кабели не всегда полностью экранированы. Неисправные или покрытые коррозией соединители могут быть причиной значительных излучений. Используя узкополосные (полоса менее 1 кГц) приемники, можно зарегистрировать напряженности поля 0,1 мкВ на поверхности кабеля. Это позволяет обнаружить сигнал 1 мкВ на расстоянии 3 м от кабеля. Даже на расстоянии 300 м сигналы, имеющие значение 1 мВ на поверхности кабеля, могут быть обнаружены. Различают следующие основные меры защиты цепей и трактов линий связи и проводов от взаимных влияний. 1. Применение систем передачи и типов линий связи, обеспечивающих малые значения взаимных влияний. Этот способ на практике реализуется в очень широких масштабах. Так, применение коаксиальных кабелей и волоконно-оптических линий практически полностью решает проблему защиты цепей и трактов линий связи от взаимного влияния. 2. Рациональный выбор кабелей для различных систем передачи.
Защита информации вт утечки по техническим каналам 3. Взаимная компенсация наводок и помех между цепями симметричных линий связи, наводимых на различных участках. Реализуется путем скрещивания цепей воздушных линий связи или симметричных кабельных линий и соответствующего подбора шагов скрутки цепей симметричного кабеля. 4. Экранирование цепей кабельных линий гибкими (чулок) или жесткими {трубы) экранами. Защита от взаимного влияния в этом случае достигается путем ослабления интенсивности влияющего электромагнитного поля в экране. В таблице 8 приведены примерные данные взаимного влияния различных типов линий и меры их защиты. Таблица 8 ТИП ЛИНИИ
Преобладающее влияние
Меры защиты
Воздушные
Систематическое влияние, возрастающее с увеличением частоты сигнала
Скрещивание цепей, оптимальное расположение цепей
ЛИНИИ СВЯЗИ
Коаксиаль- Систематическое влияние Экранирование и ограниный кабель через третьи цепи. чение диапазона рабочих С повышением частоты частот снизу влияние убывает вследствие поверхностного эффекта Симметрич- Систематическое ный кабель и случайное влияния, возрастающие с частотой Оптический кабель
Систематическое и случайное влияния от частоты сигнала практически не зависят
Оптимизация шагов скрутки и конструкции кабеля; пространственное разделение цепей, экранирование Экранирование оптических волокон, пространственное разделение оптических волокон, защита от акустического воздействия
5.4.7. Защита от утечки за счет высокочастотного навязывания Любое электронное устройство под воздействием высокочастотного электромагнитного поля становится как бы переизлучателем, вторичным источником излучения высокочастотных колебаний. Такой сигнал
177
Глава 5 принято называть интермодуляционным излучением, а в практике специалистов бытует понятие «высокочастотное навязывание». Интермодуляционное излучение — это побочное радиоизлучение, возникающее в результате воздействия на нелинейный элемент высокочастотного электромагнитного поля и электромагнитного поля электронного устройства. Интермодуляционное излучение в последующем может быть переизлучено на гармониках 2 и 3 порядка или наведено на провода и линии связи. Но в любом случае оно способно выйти за пределы контролируемой зоны в виде электромагнитного излучения. В качестве источника навязываемого сигнала могут выступать: • радиовещательные станции, находящиеся вблизи объекта защиты; • персональные ЭВМ, электромагнитное поле которых может воздействовать на телефонные и факсимильные аппараты, с выходом опасного сигнала по проводам за пределы помещений и здания (рис.65). При воздействии высокочастотного навязывания на телефонный аппарат модулирующим элементом является его микрофон. Следовательно, нужно воспретить прохождение высокочастотного тока через него. Это достигается путем подключения параллельно микрофону постоянного конденсатора емкостью порядка и —0,05 мкФ. В этом случае высокочастотная составляющая сигнала будет проходить через конденсатор, минуя микрофон (рис. 66).
178
Рис. 65. Вариант высокочастотного навязывания
Защита информации от утечки пв ТЕХНИЧЕСКИМ каналам
i
_.
__ „_.
i
Рис. 66. Шунтирование микрофона при
ВЧ-навязывании
Глубина модуляции при такой защите уменьшается более чем в 10 000 раз, что практически исключает последующую демодуляцию сигнала на приемной стороне. Более сложной защитой является использование фильтров подавления высокочастотных сигналов на входе телефонного аппарата. При угрозе ВЧ-навязывания лучше всего выключить телефонный аппарат на период ведения конфиденциальных переговоров.
5.4.8. Защита от утечки волоконно-оптических линиях и системах связи Волоконно-оптические линии связи обладают оптическими каналами утечки информации и акусто-оптическим эффектом, также образующим канал утечки акустической информации. Причинами возникновения излучения (утечка световой информации) в разъемных соединениях волоконных световодов являются: • радиальная несогласованность стыкуемых волокон (рис. 67);
179
Глава 5
• угловая несогласованность осей световодов (рис. 68); • наличие зазора между торцами световода (рис. 69) ; • наличие взаимной непараллельности поверхностей торцов волокон (рис. 70); • разница в диаметрах сердечников стыкуемых волокон (рис. 71). Все эти причины приводят к излучению световых сигналов в окружающее пространство. Акусто-оптический эффект проявляется в модуляции светового сигнала за счет изменения толщины волновода под воздействием акустического давления Р на волновод (рис. 72). Защитные меры определяются физической природой возникновения и распространения света. Для защиты необходимо оградить волновод от акустического воздействия на него. Наружное покрытие оптического волокна в зависимости от материала покрытия может повышать или понижать чувствительность световодов к действию акустических полей. С одной стороны, акустическая
180
Защита информации от утечки по техническим каналам чувствительность волоконного световода с полимерным покрытием может значительно превышать чувствительность оптического волокна без защитного покрытия. С другой стороны, можно значительно уменьшить чувствительность волоконно-оптического кабеля к действию акустического поля, если волокно перед его заделкой в кабель покрыть слоем вещества с высоким значением объемного модуля упругости. Это может быть достигнуто, например, нанесением непосредственно на поверхность оптического волокна слоя никеля толщиной около 13 мкм, алюминия толщиной около 95 мкм или стекла, содержащего алюминат кальция, толщиной около 70 мкм. Применяя метод гальванического покрытия, можно получать на оптическом волокне относительно толстую и прочную пленку. Зависимость чувствительности световодов к акустическому давлению при различных покрытиях эластомерами приведена на рис. 73.
Рис. 73. Чувствительность световодов к оптическому давлению при различных покрытиях эластомерами. В скобках указана толщина слоя покрытия в мм
181
Глава 5
• 5.5. Защита информации от утечки по материально-вещественным каналам Защита информации от утечки по материальновещественному каналу — это комплекс мероприятий, исключающих или уменьшающих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны в виде производственных или промышленных отходов. В практике производственной и трудовой деятельности отношение к отходам, прямо скажем, бросовое. В зависимости от профиля работы предприятия отходы могут быть в виде испорченных накладных, фрагментов исполняемых документов, черновиков, бракованных заготовок деталей, панелей, кожухов и других устройств для разрабатываемых моделей новой техники или изделий. По виду отходы могут быть твердыми, жидкими и газообразными. И каждый из них может бесконтрольно выходить за пределы охраняемой территории. Жидкости сливаются в канализацию, газы уходят в атмосферу, твердые отходы — зачастую просто на свалку. Особенно опасны твердые отходы. Это и документы, и технология, и используемые материалы, и испорченные комплектующие. Все это совершенно достоверные, конкретные данные. Меры защиты этого канала в особых комментариях не нуждаются. В заключение следует отметить, что при защите информации от утечки по любому из рассмотренных каналов следует придерживаться следующего порядка действий: 1. Выявление возможных каналов утечки. 2. Обнаружение реальных каналов. 3. Оценка опасности реальных каналов. 4. Локализация опасных каналов утечки информации. 5. Систематический контроль за наличием каналов и качеством их защиты.
182
Защита информации от утечки по техническим каналам Выводы 1. Утечка информации — это ее бесконтрольный выход за пределы организации (территории, здания, помещения) или круга лиц, которым она была доверена. И естественно, что при первом же обнаружении утечки принимаются определенные меры по ее ликвидации. 2. Для выявления утечки информации необходим систематический контроль возможности образования каналов утечки и оценки их энергетической опасности на границах контролируемой зоны (территории, помещения). 3. Локализация каналов утечки обеспечивается организационными, организационно-техническими и техническими мерами и средствами. 4. Одним из основных направлений противодействия утечке информации по техническим каналам и обеспечения безопасности информационных ресурсов является проведение специальных проверок (СП) по выявлению электронных устройств перехвата информации и специальных исследований (СИ) на побочные электромагнитные излучения и наводки технических средств обработки информации, аппаратуры и оборудования, в том числе и бытовых приборов.
Глава G ПРОТИВОДЕЙСТВИЕ НЕСАНКЦИОНИРОВАННОМУ ДОСТУПУ К ИСТОЧНИКАМ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Всякое действие вызывает равное ему противодействие. (Закон физики)
Противодействие несанкционированному доступу к конфиденциальной информации — это комплекс мероприятий, обеспечивающих исключение или ограничение неправомерного овладения охраняемыми сведениями. 1. В глубине всякой груди есть своя змея (К. Прутков). 2. Петух просыпается рано, но злодей — еще раньше (К. Прутков). 3. Голь на выдумки хитра. 4. С миру — по нитке, голому — рубаха. 5. Курочка по зернышку питается. 6. Кто ищет, тот всегда найдет. 7. Капля камень точит не силой, а частым падением. 8. Бойся любопытства. Любопытство — это исследование чужих дел. 9. Враг действует иногда через злых людей: через гордецов, через распутных, употребляя для этого разные обольщения.
184
Несанкционированный доступ к источникам конфиденциальной информации — это противоправное преднамеренное овладение
Противодействие несанкционированному доступу к источникам ... конфиденциальной информацией лицом, не имеющим права доступа к ней. Конкурентная борьба в условиях рыночной экономики невозможна без получения достоверной информации, а стремление получить ее в условиях закрытого доступа порождает недобросовестную конкуренцию (потребность шпионить за конкурентом). Экономическая сущность недобросовестной конкуренции ясна — не тратить средства на проведение разработок и получение новой продукции (на это требуются, как правило, огромные средства), а, потратив незначительную часть этой суммы на противозаконные действия, получить требуемую информацию у конкурента и таким образом получить большую прибыль. Преследуются и другие цели: уничтожить конкурента, сорвать ему выгодные сделки, понизить престиж фирмы и т. д. Чтобы добыть коммерческие секреты, злоумышленники имеют необходимые кадры, технические средства и отработанные способы и приемы действий. Какие же способы несанкционированного доступа к источникам конфиденциальной информации используются злоумышленниками?
• 6.1. Способы несанкционированного доступа В отечественной и з а р у б е ж н о й литературе имеет место различное толкование к а к понятия способа несанкционированного доступа, так и его содержание. Под способом вообще понимается порядок и п р и е м ы действий, приводящие к достижению какой-либо цели. Э н ц и к л о п е д и ч е с к о е п о н и м а н и е способа производства — исторически обусловленная ф о р м а производства материальных благ. Известно также определение способов военных действий, как порядок и п р и е м ы п р и м е н е н и я сил и средств для р е ш е н и я задач в операции (бою). С учетом рассмотренного, м о ж н о так определить способ несанкционированного доступа: это совокупность приемов, позволяющих злоумышленнику получить охраняемые сведения конфиденциально- _ го характера.
Глава Е В работе «Предприниматель и безопасность» автор приводит перечень способов несанкционированного доступа к источникам конфиденциальной информации и дает краткое изложение их содержания. По нашему мнению, способами несанкционированного доступа являются: 1. Инициативное сотрудничество. 2. Склонение к сотрудничеству. 3. Выведывание, выпытывание. 4. Подслушивание. 5. Наблюдение. 6. Хищение. 7. Копирование. 8. Подделка (модификация). 9. Уничтожение. 10. Незаконное подключение. 11. Перехват. 12. Негласное ознакомление. 13. Фотографирование. 14. Сбор и аналитическая обработка информации.
Инициативное сотрудничество проявляется в определенных действиях лиц, чем-то неудовлетворенных или остро нуждающихся в средствах к существованию, из числа работающих на предприятии или просто алчных и жадных, готовых ради наживы на любые противоправные действия. Известно достаточно примеров инициативного сотрудничества по политическим, моральным или финансовым соображениям, да и просто по различным причинам и побуждениям. Финансовые затруднения, политическое или научное инакомыслие, недовольство продвижением по службе, обиды от начальства и властей, недовольство своим статусом и многое другое толкают обладателей конфиденциальной информации на сотрудничество с преступными группировками и иностранными разведками. Наличие такого человека в сфере производства и управления предприятия позволяет злоумышленникам получать необходимые сведения о деятельности фирмы и очень для них выгодно, т. к. осведомитель экономит время и расходы на внедрение своего агента, представляет свежую и достоверную информацию, которую обычным путем было бы сложно получить.
Противодействие несанкционированному доступа * источникам .. Склонение к сотрудничеству — это, как правило, насильственное действие со стороны злоумышленников. Склонение или вербовка может осуществляться путем подкупа, запугивания, шантажа. Склонение к сотрудничеству реализуется в виде реальных угроз, преследования и других действий, выражающихся в преследовании, оскорблении, надругательстве и т. д. Шантаж с целью получения средств к существованию, льгот, политических выгод в борьбе за власть практикуется с легкостью и завидным постоянством. Некоторые конкуренты не гнушаются и рэкетом. По интенсивности насилия это один из наиболее агрессивных видов деятельности, где за внешне мирными визитами и переговорами кроется готовность действовать намеренно жестоко с целью устрашения. Весьма близко к склонению лежит и переманивание специалистов фирмы конкурента на свою фирму с целью последующего обладания его знаниями. Выведывание, выпытывание — это стремление под видом наивных вопросов получить определенные сведения. Выпытывать информацию можно и ложными трудоустройствами, и созданием ложных фирм, и другими действиями. Подслушивание — способ ведения разведки и промышленного шпионажа, применяемый агентами, наблюдателями, информаторами, специальными постами подслушивания. В интересах подслушивания злоумышленники идут на самые различные ухищрения, используют для этого специальных людей, сотрудников, современную технику, различные приемы ее применения. Подслушивание может осуществляться непосредственным восприятием акустических колебаний лицом при прямом восприятии речевой информации либо с помощью технических средств. Наблюдение — способ ведения разведки о состоянии и деятельности противника. Ведется визуально и с помощью оптических приборов. Процесс наблюдения довольно сложен, так как требует значительных затрат сил и средств. Поэтому наблюдение, как правило, ведется целенаправленно, в определенное время и в нужном месте специальновленными людьми, ведется скрытно. К технподготовленными людьми, ведется скрытно. К техническим средствам относятся оптические приборы (бинокли, трубы, перис-
Глава В копы), телевизионные системы (для обычной освещенности и низкоуровневые), приборы наблюдения ночью и при ограниченной видимости. Хищение — умышленное противоправное завладение чужим имуществом, средствами, документами, материалами, информацией. Похищают все, что плохо лежит, включая документы, продукцию, дискеты, ключи, коды, пароли и шифры. Копирование. В практике криминальных действий копируют документы, содержащие интересующие злоумышленника сведения; информацию, обрабатываемую в АСОД (автоматизированные системы обработки данных); продукцию. Подделка (модификация, фальсификация) в условиях беззастенчивой конкуренции приобрела большие масштабы. Подделывают доверительные документы, позволяющие получить определенную информацию, письма, счета, бухгалтерскую и финансовую документацию, ключи, пропуска, пароли и т. д. Уничтожение. В части информации особую опасность представляет ее уничтожение в АСОД, в которой накапливаются на технических носителях огромные объемы сведений различного характера, причем многие из них весьма трудно изготовить в виде немашинных аналогов. Уничтожаются и люди, и документы, и средства обработки информации, и продукция. Незаконное подключение. Под незаконным подключением будем понимать контактное или бесконтактное подключение к различным линиям и проводам с целью несанкционированного доступа к информации. Незаконное подключение как способ тайного получения информации известен давно. Подключение возможно как к проводным линиям телефонной и телеграфной связи, так и к линиям связи иного информационного назначения: линиям передачи данных, соединительным линиям периферийных устройств больших и малых ЭВМ, линиям диспетчерской связи, конференц-связи, питания, заземления и другими. Перехват. В практике радиоэлектронной разведки под перехватом понимают получение разведывательной информации за счет приема сигналов электромагнитной энергии пассивными средствами приема, расположенными, как правило, на достаточном рассто-
Противодействие несанкционированном!! доступа к источникам ... янии от источника конфиденциальной информации. Перехвату подвержены переговоры любых систем радиосвязи, переговоры, ведущиеся с подвижных средств телефонной связи (радиотелефон), переговоры внутри помещения посредством бесшнуровых систем учрежденческой связи и другие. Негласное ознакомление — способ получения информации, к которой субъект не допущен, но при определенных условиях он может получить возможность кое-что узнать (открытый документ на столе во время беседы с посетителем, наблюдение экрана ПЭВМ со значительного расстояния в момент работы с закрытой информацией и т. д.). К негласному ознакомлению относится и перлюстрация почтовых отправлений, учрежденческой и личной переписки. Фотографирование — способ получения видимого изображения объектов криминальных интересов на фотоматериале. Особенность способа —документальность, позволяющая при дешифровании фотоснимков по элементам и демаскирующим признакам получить весьма ценные, детальные сведения об объекте наблюдения. Сбор и аналитическая обработка являются завершающим этапом изучения и обобщения добытой информации с целью получения достоверных и объемлющих сведений по интересующему злоумышленника аспекту деятельности объекта его интересов. Полный объем сведений о деятельности конкурента не может быть получен каким-нибудь одним способом. Чем большими информационными возможностями обладает злоумышленник, тем больших успехов он может добиться в конкурентной борьбе. На успех может рассчитывать тот, кто быстрее и полнее соберет необходимую информацию, переработает ее и примет правильное решение. На наш взгляд, такой перечень является независимым и непересекаемым на выбранном уровне абстракции, что позволяет рассмотреть определенное множество способов с увязкой со множеством источников конфиденциальной информации. Даже беглый обзор позволяет заключить, что к определенным источникам применимы и определенные способы. Не вдаваясь в сущность каждого способа несанкциони-
061
•"о
с
Противодействие несанкционированном!) доступу к источникам ...
|
рованного доступа (СНСД), на общем уровне видно, что они могут быть сгруппированы с учетом физической природы реализации в определенные группы или направления в части решения задач противодействия им (рис. 74). В общем плане мероприятия по противодействию несанкционированному доступу к источникам конфиденциальной информации с помощью технических средств можно свести к следующим основным направлениям: • защита от наблюдения и фотографирования; • защита от подслушивания; • защита от незаконного подключения; • защита от перехвата.
• 6 2. Технические средства несанкционированного доступа к информации Акустический контроль. К системам акустического контроля относится широкая номенклатура различных радиомикрофонов, назначением которых является съем информации и передача ее по радиоканалу. Радиомикрофоны — это специальные устройства съема информации, которые по своему исполнению бывают: • простейшие — непрерывно излучающие; • с включением на передачу при появлении в контролируемом помещении разговоров или шумов; • дистанционно управляемые — включающиеся и выключающиеся дистанционно на время, необходимое для контроля помещения. Специальные устройства съема информации и передачи ее по радиоканалу можно классифицировать по следующим признакам: • диапазону используемых частот (от 27 МГц до 1,5 ГГц и выше), • продолжительности работы (от 5 часов до 1 года), • радиусу действия (от 15 м до 10 км); • виду модуляции (AM, ЧМ, узкополосная ЧМ, однополосная AM, широкополосная шумоподобная). Следует отметить, что в последнее время появились специальные устройства съема информации, ис-
Глава В пользующие для передачи акустической информации так называемые «нетрадиционные каналы». К этим каналам можно отнести следующие: Устройства съема информации, ведущие передачу в инфракрасном диапазоне (ИК передатчики). Характеризуются такие изделия крайней сложностью их обнаружения. Срок непрерывной работы — 1—3 суток. Используют эти устройства, как правило, для увеличения дальности передачи информации и размещаются у окон, вентиляционных отверстий и т. п., что может облегчить задачу их поиска. Для приема информации применяют специальный приемник ИК диапазона, который обеспечивает надежную связь на расстоянии 10—15 м. Устройства съема информации, использующие в качестве канала передачи данных силовую электрическую сеть 127/220/380 В. Такие устройства встраиваются в электрические розетки, удлинители, тройники, бытовую аппаратуру и другие места, где проходит или подключается сеть. К основным достоинствам таких устройств можно отнести неограниченное время работы. Прием информации от таких устройств осуществляется специальными приемниками, подключаемыми к силовой сети, в радиусе до 300 м. Устройства съема информации с ее закрытием, использующие шифровку или преобразование частоты с различными видами модуляции. Попытка прослушать такое устройство даже очень хорошим сканирующим приемником ни к чему не приведет — будет слышен лишь шум, указывающий только на наличие устройства съема информации. Устройства съема информации на основе лазерного микрофона, который позволяет на расстоянии до 300 м регистрировать колебания оконных стекол и преобразовывать их в звуковой сигнал. Устройства съема информации, использующие «нетрадиционные каналы» передачи, чрезвычайно дороги и сложны в эксплуатации, поэтому использование их частными лицами маловероятно. В тех случаях, когда нельзя установить устройства съема информации непосредственно на объекте, применяют стетоскопные микрофоны , которые позволяют прослушивать переговоры через твердую прегра-
Противодействие несанкционированному доступу к источникам ... ду (стену, стекло, корпус автомобиля и т. п.), причем, чем тверже и однороднее преграда, тем лучше они работают. Стетоскоп представляет собой вибродатчик с усилителем и головными телефонами (или устройством автоматической записи звука на магнитную ленту). С помощью стетоскопного микрофона можно осуществлять прослушивание разговоров через стену толщиной 1 м и более. Основным преимуществом такой системы является трудность ее обнаружения, т. к. стетоскопный микрофон можно устанавливать в соседнем помещении. Устройства съема информации устанавливаются с согласия хозяина помещения или без его в специально подготовленные места с последующей их маскировкой либо встраиваются в предметы быта, интерьера или свободные полости помещения.
Контрам и прослушивание телефонных каналов связи В последнее время одним из основных способов несанкционированного доступа к информации частного и коммерческого характера стало прослушивание телефонных переговоров. Для прослушивания телефонных переговоров используются следующие способы подключения: • параллельное подключение к телефонной линии. В этом случае телефонные радиоретрансляторы труднее обнаруживаются, но требуют внешнего источника питания; • последовательное включение телефонных радиоретрансляторов в разрыв провода телефонной линии. В этом случае питание телефонного радиоретранслятора осуществляется от телефонной линии, и в эфир он выходит (т. е. начинает передачу) с момента подъема телефонной трубки абонентом. Подключение телефонного радиоретранслятора может осуществляться как непосредственно к телефонному аппарату, так и на любом участке линии от телефона абонента до АТС. В настоящее время существуют телефонные радиоретрансляторы, позволяющие прослушивать помещение через микрофон лежащей трубки. Для этого на один провод телефонной линии пода.ют сигнал от генератора высокочастотных колебаний, 1 7 Безопасность
Глава В а к другому — подключают амплитудный детектор с усилителем. В этом случае высокочастотные колебания проходят через микрофон или элементы телефонного аппарата, обладающие «микрофонным эффектом», и модулируются акустическими сигналами прослушиваемого помещения. Промодулированный высокочастотный сигнал демодулируется амплитудным детектором и после усиления готов для прослушивания или записи. Дальность действия такой системы из-за затухания ВЧ сигнала в двухпроводной линии не превышает нескольких десятков метров. Существуют системы прослушивания телефонных разговоров, не требующие непосредственного электронного соединения с телефонной линией. Эти системы используют индуктивный способ (при помощи катушек) съема информации. Они достаточно громоздки, поскольку содержат несколько каскадов усиления слабого НЧ сигнала и обязательный внешний источник питания. Поэтому такие системы не нашли широкого практического применения. Для приема информации от телефонных радиотрансляторов используются такие же приемники, как в акустических устройствах съема информации по радиоканалу. В настоящее время появились системы перехвата факсовой и модемной связи, которые при использовании персонального компьютера со специальным программным обеспечением позволяют получить расшифровку информации. Однако такие системы очень дорогие и пока не нашли широкого применения в нашей стране. Способы, которыми может вестись прослушивание телефонных линий, и какая при этом используется аппаратура. Кратко рассмотрим эти способы.
Непосредственное подключение к телефонной линии — наиболее простой и надежный способ получения информации. В простейшем случае применяется трубка ремонтника-телефониста, подключаемая к линии в распределительной коробке, где производится разводка кабелей. Чаще всего, это почерк «специалистов» нижнего звена уголовного мира (верхнее звено оснащено аппаратурой не хуже государственных секретных служб). Необходимо помнить, что АТС пе-
Противодействие несанкционированном!! доступу к источникам ... реключает линию на разговор при шунтировании ее сопротивлением около 1 кОм. Применение аппаратуры подслушивания с низкоомным входным сопротивлением можно достаточно быстро обнаружить. Если вы услышите щелчки в линии или перепады громкости — есть вероятность того, что вас пытаются прослушать не совсем профессиональным способом.
Подкуп обслуживающего персонала на АТС — весьма распространенный способ раскрытия ваших секретов. Особенно это касается небольших городов, где до сих пор используются старые декадно-шаговые АТС. Скорее всего, таким способом могут воспользоваться преступные группы либо конкурирующие фирмы.
Телефонные аппараты, где в качестве вызывного устройства используется электромагнитный звонок, пока еще широко распространены в нашей стране. Звонок обладает свойством дуальности, то есть, если на электромагнитный звонок действуют звуковые волны, он начнет вырабатывать соответствующим образом модулированный ток. Амплитуда его достаточна для дальнейшей обработки. Эксперименты показали, что амплитуда ЭДС, наводимая в линии, для некоторых типов телефонных аппаратов может достигать нескольких милливольт. Корпус аппарата является дополнительным резонирующим устройством
Этот способ не является синонимом непосредственного подключения к линии. Он гораздо сложнее. Микрофон является частью электронной схемы телефонного аппарата: он либо соединен с линией (через отдельные элементы схемы) при разговоре, либо отключен от нее, когда телефонный аппарат находится в готовности к приему вызова (трубка находится на аппарате). На первый взгляд, когда трубка лежит на аппарате, нет никакой возможности использовать мик-
|
Глава В рофон в качестве источника съема информации. Но это только на первый взгляд. Для защиты телефонного аппарата от снятия информации таким способом достаточно параллельно микрофону подключить конденсатор емкостью 0,01 —0,05 мкФ. При этом последний будет шунтировать микрофон по высокой частоте и глубина модуляции ВЧ колебаний уменьшится более чем в 10 000 раз, что делает дальнейшую демодуляцию сигнала практически невозможной.
Стандартность архитектурных принципов построения оборудования и программного обеспечения определяет сравнительно легкий доступ профессионала к информации, находящейся в персональном компьютере (ПК). Ограничение доступа к ПК путем введения кодов не обеспечивает полной защиты информации. Включить компьютер и снять код доступа к системе не вызывает особых затруднений — достаточно отключить аккумулятор на материнской плате. На некоторых моделях материнских плат для этого предусмотрен специальный переключатель. Также у каждого изготовителя программы BIOS (AMI, AWARD и др.) есть коды, имеющие приоритет перед любыми пользовательскими, набрав которые можно получить доступ к системе. В крайнем случае, можно украсть системный блок компьютера или извлечь из него жесткий диск и уже в спокойной обстановке получить доступ к необходимой информации. Другое дело, когда попасть в помещение, где установлен компьютер, не удается. В этом случае используют дистанционные способы съема информации. Естественно, они эффективны только тогда, когда компьютер включен. Существует два способа дистанционного считывания информации: первый способ основан на приеме ВЧ наводок в силовую сеть, а второй — на приеме побочных электромагнитных излучений соединительных цепей ПК. Распространение побочных электромагнитных излучений за пределы контролируемой территории создает предпосылки для утечки информации, так как возможен ее перехват с помощью специальных техни-
Противодействие несанкционированному доступу к источникам ...
j
ческих средств контроля. В персональном компьютере основными источниками электромагнитных излучений являются монитор и соединительные цепи (устройства ввода и вывода информации). Утечке информации в ПК способствует применение коротких видеоимпульсов прямоугольной формы и высокочастотных коммутирующих сигналов. Исследования показывают, что излучение видеосигнала монитора является достаточно мощным, широкополосным и охватывает диапазон метровых и дециметровых волн. Причиной мощного излучения является наложение радиосигнала на импульсы развертки изображения, вырабатываемые строчным трансформатором. При кажущейся сложности проблемы, аппаратура для этого вида коммерческой разведки достаточно проста и изготавливается на базе обычного малогабаритного телевизора. Такие устройства позволяют на удалении 50 м получать устойчивую картинку — копию изображения, отображаемого в настоящий момент на" экране монитора вашего ПК. Для уменьшения уровня побочных электромагнитных излучений применяют специальные средства защиты информации: экранирование помещений, фильтрацию источников питания, дополнительное заземление, электромагнитное заземление, а также средства ослабления уровней нежелательных электромагнитных излучений и наводок при помощи различных резистивных и поглощающих согласованных нагрузок. В последнее время все чаще говорят о несанкционированном внедрении в базы данных; Этот вид пиратства очень быстро развивается вследствие бурного развития компьютеризации при обработке информации в коммерческих кругах с выходом информационных сетей в телефонную сеть общего пользования. Компьютерные взломщики, «хакеры», не*ограничиваются вопросами бесплатного получения коммерческой информации — достаточно случаев вскрытия и перевода денежных счетов из одного банка в другоо через информационную сеть общего пользования.
Скрытая що- и видеосъемка при помощи специальной оптики Не нужно обращаться к истории разведки, чтобы сделать вывод о том, что визуальное наблюдение явля-
197
Глава В ется самым древним и очень эффективным методом сбора информации. В настоящее время для сбора информации могут использоваться миниатюрные скрытые и специальные (камуфлированные под обычные предметы) фото- и видеокамеры: • миниатюрные (скрытые) встраиваются в бытовую технику и передают видеоинформацию по кабелю или по ВЧ каналу при помощи телевизионного передатчика; • специальные, т. е. замаскированные под бытовые предметы, например, пачку сигарет, кейс, книгу, наручные часы и т. п. Аппаратура для скрытой фото- и видеосъемки, как правило, оборудуется специальными объективами и насадками: • миниатюрными объективами, предназначенными для съемки через отверстия небольшого диаметра (до 5 мм); • телескопическими объективами, позволяющими вести съемку с дальних расстояний. Такие объективы обладают высокой кратностью увеличения (до 1,5 тыс. крат); • комуфляжными объективами, используемыми для скрытой съемки из различных бытовых предметов, например, из кейсов; • объективами, совмещенными с приборами ночного видения (с инфракрасной подсветкой) и предназначенными для проведения съемки в темное время суток. В качестве примера оборудования для скрытого наблюдения рассмотрим миниатюрную телевизионную камеру JT,5 т, которая позволяет сделать это наблюдение абсолютно незаметным, информативным и безопасным. Использование телекамеры JT-24 Is наиболее эффективно в системах охраны, системах телевизионного наблюдения, системах скрытого аудиовидеопротокола и т. д. Сверхминиатюрный зрачок объектива позволяет вести наблюдение через отверстие диаметром 0,3— 1,2 мм при угле поля зрения 110°, а высокая чувствительность (0,04 лк) — видеть в темноте лучше, чем человеческий глаз. Малые размеры телекамеры (39x39x20 мм) позволяют установить ее в любые эле-
Противодействие несанкционированному доступу к источникам ..
|
менты интерьера: часы, книгу, картину, входную дверь, стену и т. п. Телекамера может быть оснащена другими объективами с иным полем зрения. Перечень техники фото- и видеосъемки можно было бы продлить, но вероятность ее использования частными лицами очень мала из-за сложности в эксплуатации и большой стоимости.
• В.З. Защита от наблюдения и фотографирования Наблюдение — способ ведения разведки с целью получения информации об объекте визуальным путем или путем применения оптических средств. Ведется наблюдение за людьми, их перемещением пешкомЗ. Зана транспорте, за встречами, другими действиями; а также помещениями. В дневное время процесс наблюдения облегчается за счет высокого уровня освещенности и полного использования функциональных возможностей зрения. В ночное время эти возможности ограничены настолько, что человек даже на открытой местности способен наблюдать только крупногабаритные объекты. Наблюдение — это постоянное, периодическое или выборочное активное и целенаправленное исследование предметов, документов, явлений, действий и людей в естественных условиях жизни, быта, производства с последующим обобщением и анализом данных наблюдения. Наблюдение различается по виду, длительности, интенсивности и целям. Наблюдение может вестись на расстоянии прямой видимости и на больших расстояниях с помощью специальных оптических систем и систем телевидения. Целенаправленное изучение объекта путем наблюдения позволяет, например, обнаружить или установить подготовку определенных организационных или производственно-коммерческих мероприятий. В целях документирования фактов наблюдения и последующего анализа наблюдение зачастую сопровождается фотографированием или видеозаписью деятельности объекта наблюдения. Известно, что фотографирование (видеозапись) требует соблю-
I
Глава 6 дения определенных условий. Эти условия представляются в виде модели фотографического контакта (рис.75). Защита от наблюдения и фотографирования предполагает: • выбор оптимального расположения средств документирования, размножения и отображения (экраны ПЭВМ, экраны общего пользования и др.) информации с целью исключения прямого или дистанционного наблюдения (фотографирования); • использование светонепроницаемых стекол, занавесок, драпировок, пленок и других защитных материалов (решетки, ставни и пр.); • выбор помещений, обращенных окнами в безопасные зоны (направления); • использование средств гашения экранов ЭВМ и табло коллективного пользования после определенного времени работы (работа по режиму времени). Защита от наблюдения и фотографирования на местности предполагает применение мер маскирования, скрытия объектов в рельефе местности, лесных массивах и, естественно, организацию режима охраны на удалении, обеспечивающем скрытность деятельности. В более сложных условиях можно применять средства активного маскирования: маскирующие дымы, аэрозоли и другие средства.
• В.4. Защита ет подслушивания Подслушивание — способ ведения разведки и промышленного шпионажа, применяемый агентами, наблюдателями, специальными постами подслушивания, всеми разведывательными подразделениями. Ведется также подслушивание переговоров и сообщений, передаваемых по техническим средствам связи. Известно, что подслушивание может быть непосредственное, когда акустические колебания говорящего прямо или через конструкции зданий и помещений достигают подслушивающего. Однако широко распро-
ЧАСТНАЯ МОДЕЛЬ фотографического контакта
ОБЪЕКТ ФОТОГРАФИРОВАНИЯ
1. Спектральный коэффициент яркости объекта 2. Характеристика фона 3. Геометрические размеры объекта
-Время суток Время года Дальность Угол визирования Метеорологическая дальность СРЕДА УСЛОВИЯ
Рис. 75 рчэ
СРЕДСТВО ФОТОГРАФИРОВАНИЯ
1. Фокусное расстояние и относительное отверстие объектива 2. Разрешающая способность системы «объектив фотослой» 3. Чувствительность пленки 4. Тип объектива 5. Время экспозиции
Глава В странено подслушивание переговоров с использованием различных технических средств: микрофонов, радиозакладок, лазеров, высокочастотных колебаний (рис. 76). ПОДСЛУШИВАНИЕ
с помощью
НЕПОСРЕДСТВЕННОЕ
ТЕХНИЧЕСКИХ СРЕДСТВ
Прямое
С помощью микрофоков
Через конструкции зданий и помещений
Посредством радиозакладок
Лазерное
ВЧ-навязывания
Рис. 76
6.4.1. Противодействие подслушиванию посредством микрофонных систем Микрофон является первым звеном в системе подслушивания с помощью технических средств как микрофонных, так и радио закладных. Каждый микрофон 202 обладает двумя основными параметрами:
Противодействие несанкционированному дострд и источникам ... Рзв, дБ 35 30 25 20 15 60 100
1000
10 000 20 000
Рис. 77. Частотная характеристика микрофона MD-16N • чувствительностью. Чувствительность — это отношение напряжения на выходе микрофона к воздействующему на него звуковому давлению, выраженному в милливольтах на паскаль (мВ/Па); • частотной характеристикой. Частотная характеристика — это зависимость чувствительности от частоты звукового давления. На рис. 77 приведена частотная характеристика динамического микрофона MD-16N, а в таблице 9 приведены основные обобщенные характеристики некоторых групп микрофонов. Таблица 9 Некоторые характеристики микрофонов Параметры Класс
Чувствительность (мВ/Па)
Бытовые микрофоны
2
Диапазон (Гц) 80-10 000
Универсальные микрофоны
1,5
50-12 500
Студийные микрофоны
1,5
40-20 000
Известно, что звуковое давление по степени его восприятия человеком можно классифицировать на слышимый звук, лежащий в полосе 16 — 20 000 Гц, инфразвук — ниже 16 Гц, и ультразвук, диапазон частот которого находится выше 20 000 Гц. В качестве меры противодействия избирается акустическое воздействие на микрофон частотами ульт-
203
Глава
Рис. 78
204
развукового диапазона. Такое воздействие не мешает ведению переговоров, но полностью подавляет воздействие речевого сигнала большим по величине давлением ультразвука (рис. 78). В разделе 5.3.2 рассмотрен пример генератора ультразвуковых колебаний. Воспринимаемый микрофоном звук преобразуется в электрические колебания, которые тем или иным способом необходимо передать соответствующим устройствам их приема и обработки. Каким бы путем подслушивающий микрофон ни был доставлен (установлен) в помещение — принесен и закамуфлирован либо принесен злоумышленником на себе (на теле) или в каких-либо предметах (кейс, сумка и др.),— его сигналы могут быть либо записаны на магнитофон (микрофон соединен проводом с системой записи), либо переданы по проводам или эфиру. Способы коммуникации сигналов от закладных микрофонов приведены на рис. 79. Одним из вариантов дистанционного управляемого микрофона является так называемое «телефонное ухо». В этом устройстве микрофон и схема управления микрофоном и телефонным аппаратом устанавли-
СПОСОБЫ коммуникации сигналов от закладных микрофонов
По проводам
По имеющимся в помещении телефонные радиотрансляционные пожарно-охранные электропитания телевизионные антенные кабели
По эфиру
По специально проложенным в скрытном заложении временно проложенные
Рис. 79 СП
По диапазону
По режиму работы
на радиочастотах в ИК диапазоне
- постоянный - управляемый
Глава 6 вается злоумышленником в разъемную телефонную розетку. Такое устройство предназначено для подслушивания разговоров в офисе, квартире и в других помещениях, с любого другого телефона города и даже из других городов и стран. Для включения в работу подслушивающего микрофона необходимо набрать номер телефонного аппарата, на который это устройство поставлено. После набора номера устройство работает так: • первый звонок перехватывает и переходит в активный режим; • при втором звонке через 10—15 сек. дает ложные гудки «занято» в течение 40 сек., после чего гудки прекращаются и включается микрофон, расположенный в розетке, и начинается подслушивание. В случае, если абонент поднимет трубку, чтобы позвонить кому-нибудь, прослушивание прекращается, не выдавая себя ничем. При обычном звонке оно также себя не обнаруживает (рис. 80).
Рис. 80. Общая схема «телефонного уха»
206
Основные ТТХ: Акустическая чувствительность микрофона — до 10 м. Электропитание — от телефонной линии.
Противодействие несанкционированному доступу к источникам ... • Длительность непрерывной работы — неограниченная. • Дальность действия — неограниченная. • Включение модуля осуществляется дистанционно с помощью обычного телефонного аппарата путем набора спецномера. Для подслушивания, а вернее, тайной записи переговоров, используются магнитофоны (диктофоны), также имеющие встроенный и удаленный микрофон. В этом случае необходимо вначале определить наличие таких устройств у посетителя, а затем уже противодействовать его использованию. . Для обнаружения магнитофонов используются портативные и стационарные средства и системы. Обнаружение осуществляется по электромагнитному полю электрического двигателя, обеспечивающего продвижение записывающего носителя (магнитная лента, магнитная проволока и др.). Так, на нашем рынке имеется портативный обнаружительTRD-800 (США), обеспечивающий обнаружение магнитного поля на дальность до 15 см, стационарный обнаружитель PTRD-012 и PTRD-014 (США), обеспечивающий обнаружение магнитофонов (по проспекту) до 2 — 3 метров. Устройство PTRD-014 предназначено для охраны помещений от несанкционированного использования портативных звукозаписывающих устройств (магнитофонов, диктофонов и пр.). Для данной модели информативным сигналом является электромагнитное поле, создаваемое работающим мотором диктофона. Это является принципиальным отличием от существующих на рынке спецтехники систем аналогичного назначения, реагирующим на генератор тока стирания и подмагничивания (ГСП), отсутствующий у подавляющего большинства используемых в данное время диктофонов. Оригинальные технические решения, используемые в устройстве, позволили решить задачу обнаружения средств звукозаписи на фоне внешних помех, в 10 000 раз превышающих уровень полезного сигнала. Устройство в максимальной степени адаптировано к работе в условиях сложной помеховой электромагнитной обстановки. 207
Глава Б Технические характеристики: • дальность обнаружения — 0,5— 1,5 м; • питание — 220 В / 50 Гц; • габариты датчика— 240x180x22 мм; • габариты основного блока — 180x180x22 мм; • длина соединительного кабеля — до 3 м. Известна и система обнаружения диктофонов типа RM-200. Система устанавливается в служебном помещении, как правило, ориентированном на ведение переговоров. Под каждым жестко закрепленным к полу креслом (вращающимся) закрепляется решетка магнитных датчиков, подключенных к устройству обработки сигналов и индикации, определяющему, на каком месте за столом выявлен работающий диктофон (рис. 81).
Рис. 81. Стационарный обнаружитель диктофонов RM-200
208
Устанавливается в служебных помещениях и предназначен для обнаружения магнитного излучения, создаваемого включенным диктофоном (магнитофоном). Решетка магнитных датчиков закамуфлирована в виде брусков, подключенных к устройству обработки сигналов и индикации, которое и указывает номер места за столом, где выявлен работающий магнитофон. Устройство автоматически поддерживает максимальную дальность обнаружения (от 10 до 50 см для различных типов диктофонов) при изменении уровня помех, обладает высокой помехоустойчивостью за счет адаптив-
Противодействие несанкционированному доступу к источникам ной компенсации помех и цифровой обработки сигнала. Обеспечивается одновременный контроль от 2 до 6 рабочих мест, выполнен в виде настольного прибора. Основные характеристики: устройство обработки и индикации — 170x170x30 мм; масса — 0,5 кг; датчик — 230x35x25 мм; масса — 100 г; индикация — световая, звуковая; дальность обнаружения диктофонов (в зависимости от типа) — 10 — 50 см. Используется и портативный, носимый детектор диктофонов типа RM-100 (рис. 82). Существенной преградой на пути злоумышленника с подслушивающей техникой является создание на коммерческих объектах особых, защищенных от подслушивания помещений для проведения заседаний, переговоров и конфиденциальных бесед. Таким помещениям присваивается Рис. 82 статус специальных, они оборудуются с учетом следующих требований: • здание, где размещаются такие особые помещения, должно иметь круглосуточную охрану и систему сигнализации; • помещение располагается, по возможности, в центре здания, рядом с кабинетами руководства коммерческого объекта; • если в помещении должны быть окна, то желательно, чтобы они не имели балконов и не выходили на соседние с объектом здания, а смотрели бы на внутренний двор или закрывались глухими ставнями; • внутри помещения должно быть минимальное количество мебели; конструкция мебели должна быть наиболее приспособлена для работы специалиста по поиску техники подслушивания;
209
Глава В • в помещении не должно быть радиоэлектронных устройств, компьютеров, телевизоров, магнитофонов; • телефонная связь, как наиболее «удобная» для подслушивания, должна осуществляться особым образом, который порекомендует специалист по защите. Известен и такой способ защиты, как проведение переговоров в прозрачной, оборудованной из оргстекла и пластиков кабине. Это сделано для того, чтобы сразу заметить любой посторонний (непрозрачный) предмет, в том числе и «оставленную» кем-нибудь аппаратуру подслушивания. В такой кабине все предметы, в том числе и мебель, также сделаны из прозрачных пластиков. Специальная система вентиляции подает воздух внутрь кабины. При выборе способа защиты помещений следует помнить о том, что эффективность ее будет высокой только при строгом соблюдении режима посещений и работы в таком специальном кабинете. Необходима и периодическая проверка его специалистом по поиску техники подслушивания. Практика показывает, что строгое соблюдение всего комплекса мер безопасности в сочетании с личной заинтересованностью сотрудников в процветании своей фирмы может создавать непреодолимый психологический барьер для злоумышленников и конкурентов, у которых страх быстрого разоблачения их преступных действий на объекте будет сильнее желания получить какие-либо личные выгоды и вознаграждение за установку техники подслушивания.
6.4.2. Противодействие радиосистемам акустического подслушивания Акустические системы радиоподслушивания (радиозакладки) обеспечивают подслушивание с передачей воспринимаемых разговоров или звуковых сигналов и шумов к злоумышленнику по радиоканалу или по проводам на радиочастотах. По применению и конструктивным особенностям радиозакладки подразделяются на микрофонные
Противодействие несанкционированному достру и источникам ... и телефонные. Радиозакладки — это миниатюрные радиопередатчики, работающие, как правило, на частотах УКВ-диапазона для передачи сигналов по эфиру или на частотах 100—150 кГц (для передачи сигналов по проводам). Отличие микрофонных и телефонных радиозакладок заключается в том, что телефонные используют микрофон телефонного аппарата, а микрофонные — свой собственный, встроенный. Кроме того, микрофонные радиозакладки используют собственный источник питания и внешние — типа электросети, а телефонные — питание АТС. По используемому диапазону радиочастот отмечаются участки 80-170 МГц, 350-500 МГц. По дальности распространения сигналов отмечаются радиозакладки от 100 до 2000 м (см. таблицу 10). Таблица 10
Общие характеристики современных радиозакладок Используемые диапазоны (МГц)
88-108; 130-150; 140-170; 378-399; 400-500; 700-750
Дальности связи (м)
100; 150; 200; 250; 300; 400; 800; 1000; 2000
Мощности (мВт)
2,5; 3,5; 10; 20; 25; 100
Наибольшее распространение получили дальности от 100 до 350 м. Отдельные экземпляры обеспечивают дальность до 500 — 1000 м при диапазоне частот порядка 100—170 МГц. Основная масса моделей развивает мощность в пределах 10 — 25 мВт. Основным демаскирующим признаком радиозакладок является наличие радиоизлучения соответствующего диапазона радиоволн. Следовательно, для выявления наличия этих радиосигналов необходимы специальные радиоприемные устройства обнаружения и анализа (рис. 83). Специальные радиоприемные устройства для поиска и обнаружения радиоэлектронных средств, используемых для проникновения к источникам конфиденциальной информации, характеризуются в основном следующими параметрами:
КЛАССИФИКАЦИЯ СПЕЦИАЛЬНЫХ РАДИОПРИЕМНИКОВ Специальные радиоприемники предназначены для обнаружения и определения местоположения источников радиосигналов и побочных электромагнитных излучений и наводок (ПЭМИН)
По назначению
По диапазону
поисковые обнаружительные
-ДВ
- ев - KB - УКВ
По ширине полосы захвата
широкополосные узкополосные с меняющейся полосой
По режиму настройки
- ручная - автоматическая
По оперативным . возможностям
индикаторы поля поисковые сканеры многофункциональные комплексы
По исполнению
- портативные - автомобильные - стационарные
Противодействие несанкционированному доступу к источникам .. целевое назначение; схемное решение; диапазон принимаемых частот; чувствительность; избирательность; точность отсчёта частоты принимаемого сигнала; оперативность управления; транспортабельность. Целевое назначение радиоприемного устройства в значительной степени предопределяет его возможности. Радиоприемники могут предназначаться для поиска, обнаружения, приема, перехвата, пеленгования, измерения характеристик сигналов и других целей. В зависимости от этого к ним предъявляются различные требования по таким характеристикам, как диапазон принимаемых частот, чувствительность и избирательность, точность установки (или определения) частоты принимаемого сигнала, вид модуляции принимаемых сигналов и другим. Схемное решение приемника обусловливает его сложность и во многом определяет характер его использования. По схемному решению приемники бывают прямого усиления и супергетеродинные, обнаружительные широкодиапазонные и поисковые с автоматической перестройкой частоты, многофункциональные, сканирующие с микропроцессорным управлением и другие системы и комплексы. Диапазон принимаемых частот выбирается с таким расчетом, чтобы полностью охватить возможные участки спектра частот, используемых для передачи сигналов. Приемники для обнаружения излучения, как правило, широкодиапазонные с непрерывным перекрытием диапазона, например, от 20 до 1800 МГц. Широкодиапазонность позволяет вести поиск и обнаружение сигналов с достаточной вероятностью их выявления при минимальном числе приемников. Узкодиапазонные приемники ориентированы на прием сигналов в определенных участках спектра радиоволн: KB, УКВ, метровом, сантиметровом и других. Чувствительность является одним из важных показателей радиоприемника. Она характеризует его способность принимать самые слабые сигналы, поступаю- 213
щие в антенну, и воспроизводить их соответствующим образом на выходе. Количественно чувствительность приемника определяется наименьшим значением ЭДС или наименьшей мощностью принимаемого сигнала в антенне, при котором на выходе приемника уровень сигнала и соотношение сигнал-шум достигает необходимой величины, обеспечивающей нормальную работу конечных устройств. Чем меньше требуемое значение ЭДС или мощность принимаемого сигнала на входе приемника, тем выше его чувствительность. Избирательность приемника характеризует его способность выделить полезный сигнал из всех других сигналов, поступающих в приемную антенну одновременно с полезным сигналом и отличающихся от него по своим несущим частотам. В первом приближении избирательность может быть оценена по резонансной характеристике приемника. Резонансной характеристикой приемника называется зависимость его чувствительности от несущей частоты принимаемых сигналов при неизменной его настройке. Область частот, одновременно пропускаемых приемником, называют полосой пропускания. Полоса пропускания выбирается с учетом назначения приемника. Расширяя полосу пропускания, ухудшают избирательность, и наоборот. На практике противоречивые требования по избирательности и полосе пропускания приемника решаются компромиссно в зависимости от заданных требований. Точность отсчета частоты определяет возможность приемника дать точное значение частоты принимаемого сигнала. В зависимости от назначения приемника можно определять область частот сигнала, например, порядка 150 МГц, а можно и весьма точно: частота принимаемого сигнала равна 150,43 МГц. Оперативность управления характеризует способность приемника производить настройку на заданный диапазон и частоту сигнала с минимальной затратой времени. Оперативность управления достигается удобством и простотой управления приемником, наличием минимального количества органов управления. Транспортабельность является одним из важных показателей и характеризуется габаритами и весом 214 приемника.
Противодействие несанкционированному доступу к источникам ... В практике работы служб безопасности в качестве оперативных средств обнаружения радиосигналов закладных устройств широко используются простейшие приемники, получившие название индикаторов поля.
И н д и к а т о р ы поля или о б н а р у ж и т е л и сигналов предназначаются для обнаружения радиомикрофонов и телефонных радиозакладок. Индикаторы поля представляют собой приемники прямого усиления, работающие в широком диапазоне радиоволн в бесперестроечном режиме. Большинство моделей индикаторов перекрывает диапазон частот от 20 до 1000 МГц и более. Такое перекрытие по частоте обеспечивается специальной конструкцией и схемным решением, ориентированными на обнаружение электромагнитного поля в непосредственной близости от его источника. Антенна индикатора поля воспринимает высокочастотные электромагнитные колебания, которые посредством гальванической с в я з и п р я м о п е р е д а ю т с я на детектор. Продетектированный сигнал подается на усилитель и далее — на сигнальное устройство опове- 1 щения. Чувствительность индикаторов поля достаточно низкая и лежит в пределах от десятых долей до единиц милливольт (часто в пределах 0,4 — 3 мВ). Естественно, что чувствительность индикатора поля меняется в зависимости от значения частоты, так как в весьма широком диапазоне частот невозможно обеспечить равномерную частотную характеристику на неперестраиваемых элементах приемника. Кроме того, чувствительность приемника определяется еще и действующей высотой антенны. Если в ходе поиска индикатор принимает сигналы из неконтролируемого помещения (т. е. мешающие сигналы), следует уменьшить длину антенны. Прямая гальваническая связь антенны с детектором необходима для приема немодулированных сигналов с AM, сигналов с ЧМ, которые при их детектировании на амплитудном детекторе на выходе дают постоянный уровень сигнала. На рис. 84 приведена одна из возможных принципиальных схем индикатора поля (ИП).
Глава Е
Рис. 84. Принципиальная схема индикатора поля
На схеме L и С составляют фильтр высокочастотной составляющей. Далее низкочастотный сигнал поступает на двухкаскадныи усилитель и на сигнализатор, собранный по триггерной схеме. Часто на входе ИП устанавливаются режекторные фильтры на частоты 77, 173, 191 и 215 МГц, подавляющие поступление сигналов мощных вещательных и телевизионных станций. В таблице 11 приведены основные тактико-технические характеристики распространенных на нашем рынке индикаторов поля. Таблица 11
Таблица основных ТТХ индикаторов поля Тип (МГц)
Диапазон частот (мВ)
1
ИП-1
50-1200
0,4-3
0,15-2
2
ип-з
20-1200
0,4-3
0,25-2
ИП4
25-1000
0,4-3
0,15-2
4
ИПАР
70-1000
0,4-3
0,15-4
5
АДЬКОР-М
45-1200
100 мкВ
до 6
6
РТ-022
30-1000
—
0,2-25
7
RM-10
88-100
3
—
8
D-026
50-1000
0,5-3
—
NN п/п
3
2Т6
Чувствитель- Дальность обнаружения Примечание ность (м)
Противодействие несанкционированном!) доступд к источникам 9
КС-204
50кГц1000 кГц
—
—
контроль электромагнитных сигналов в проводных системах
Рис. 85. Индикатор поля ИП-5
Специфичность этих приемников заключается в автоматизации поиска в режиме сканирования по частоте. Часто такие приемники снабжаются специальной электронно-лучевой трубкой, позволяющей наблюдать некоторую часть диапазона по сторонам от конкретной контролируемой частоты. Такие приемники получили наименование панорамных. Поиск сигналов радиозакладок в сочетании с обзором в значительной степени облегчает решение задачи выявления их наличия в данном здании, помещении или прилежащей территории. Панорамное наблюдение радиосигналов не только позволяет отметить наличие сигнала на какой-то частоте, но и определить его спектральный состав и особенности, что позволит достаточно просто отделить разные сигналы от речевого, имеющего специфичес-
217
I
Глава Б кую структуру спектра. Кроме того, достаточно четко определяется и вид модуляции — AM или ЧМ по ширине спектра. Основными техническими характеристиками панорамных приемников (или сканеров) являются: • разрешающая способность по частоте; • точность отсчета частоты; • полоса обзора; • скорость обзора. Например, высокочувствительный носимый сканер «ICOM-IC-R-7100» предназначен для контроля сигналов радиопередающих устройств в диапазоне от 500 кГц до 1900 МГц. Его характеристики следующие: • Все виды модуляций. 1000 каналов памяти. Выход управления на компьютер. Диапазон: 2-30 МГц; 30 МГц — 1,3 ГГц; 1,3-1,9 ГГц. Виды модуляции: SSB, AM, NFM, WMF. Канальная память: 20 банков по 50 каналов. Скорость сканирования: 30 каналов в секунду. Питание: 4 элемента типа 316. Основные характеристики наиболее современных и распространенных на отечественном рынке сканеров приведены в таблице 12.
Предназначен для приема радиосигналов различной модуляции в широком диапазоне частот. Основными достоинствами приемника являются: • ввод значения частоты с функциями памяти; • «шумовая» и «сигнальная» схемы бесшумной настройки (БШН); • аттенюатор; • схемы шумоподавителя и автоматической подстройки частоты; • 900 каналов памяти, программируемых пользователем; • разнообразные режимы сканирования.
Таблица 12
го
Глава 6 Этот радиоприёмник может независимо выполнять сканирование в двух различных режимах. IC-R7100 (рис. 87) может комплектоваться: • сверхширокодиапазонной всенаправленной дискоконусной антенной АН-7000; • внешним громкоговорителем SP-7; • внешним громкоговорителем IS-SP3; • внешним громкоговорителем АЧХ SP-20; • телевизионным адаптером TV-R-7100; Рис. 86. • преобразователем уровня Сканер CI-V-CT-17 для управления AR-8000 радиоприемником с ПЭВМ; ручкой для переноски МВ-23; кронштейном для установки на автомобиле IC-MB5; синтезатором речи VT-6; часами всемирного времени GC-5. Основные характеристики: рабочий диапазон — 25 - 1999,9999 МГц; режимы модуляции — SSB(USB/LSB); AM (обычная и широкополосная), WFM, FM (обычная и узкополосная); габаритные размеры — 241x94x239 мм; масса — 6 кг.
220
Рис. 87
Противодействие несанкционированному доступу к источникам .. Для обнаружения радиозакладок, передающих подслушиваемые переговоры по проводным системам, также имеются средства обнаружения. Одним из известных индикаторов электрических сигналов в проводных линиях является индикатор «СКАНЕР-3». Он предназначен для выявления сигналов подслушивающих устройств в силовых, телефонных, радиотрансляционных и других проводных системах (рис. 88). Основные характеристики: • Диапазон поиска — от 200 Гц до 7 МГц • Чувствительность, мкВ: в диапазоне 200 Гц — 20 кГц — не хуже 100; в диапазоне 20 кГц — 7 МГц — не хуже 30. ш Число поддиапазонов — 5. ш Индикаторы уровня напряжения на входе, В — 5 — 75 и 75-250. • Питание — 9 В батарея/сетевой адаптер. • Габаритные размеры — ой адаптер. • Габаритные размеры0x20.
Рис. 88
Нелинейные локаторы обеспечивают обнаружение в предметах интерьера и строительных конструкциях помещений технических средств несанкционированного подключения и подслушивания, нелегально установленных (или вмонтированных) в мебель, стены, другие элементы, имеющих в себе полупроводниковые компоненты, электронные и радиовзрыватели, радиомикрофоны, отдельные платы и другие составляющие.
221
Глава В Обнаружение обеспечивается независимо оттого, активен или пассивен элемент контроля. Обнаружение осуществляется путем облучения радиоэлектронных устройств высокочастотными импульсами и приема отраженного от них сигнала в режиме непрерывного облучения исследуемых поверхностей. Отраженная энергия в своем составе содержит помимо основной частоты (первой гармонической) вторую, третью и более высокие гармонические составляющие. Если в отраженном сигнале имеются такие, то это свидетельствует о наличии электронных элементов в исследуемой поверхности. Если же нет, то и нет излучающих (отражающих) объемов и поверхностей. Приемное устройство нелинейного локатора настроено на вторую (реже третью) гармонику и не принимает сигналы первой гармоники. Тактико-технические характеристики некоторых моделей нелинейных локаторов, имеющихся на отечественном рынке средств противодействия несанкционированным действиям, приведены в таблице 13, а внешний вид одного из них на рис. 89. Таблица 13
Характеристики нелинейных локаторов
222
В качестве примера рассмотрим более подробно технические характеристики одного из нелинейных локаторов.
Противодействие несанкционированному доступу к источникам
Puc.
НЕЛИНЕЙНЫЙ локатор Обеспечивает обнаружение в строительных конструкциях помещений и предметах интерьера скрытно установленных радиопередающих устройств и других технических средств съема информации, содержащих в себе полупроводниковые компоненты. Обнаружение осуществляется путем облучения радиоэлектронных устройств высокочастотным импульсом и анализа 2-й гармоники отраженного сигнала. Основные характеристики: • напряжение источника питания — сеть переменного тока (частотой 50 Гц), 198 — 242 В; • мощность, потребляемая от сети переменного тока, — не более 40 ВА; • масса изделия в укладочном чемодане без преобразователя и удлинительной штанги — не более 7 кг; • время непрерывной работы — не менее 8 час; передатчик: • несущая частота — 885 — 895 МГц; • длительность радиоимпульса — не более 3 мкс; • частота следования радиоимпульсов: • режим «400 мин» и.«400 макс» — 300 — 500 Гц; • «20 к » — 15-25 кГц; • импульсная мощность: • режим «400 мин» — 250 — 400 Вт; • «400 макс» и «20 к»— 2 5 - 4 0 Вт; 223
Глава В
приемник: я реальная чувствительность при соотношении сигнал/шум не менее 6 дБ, при выходном напряжении 100 мВ (амплитудное значение) — не хуже 10-11 Вт. • динамический диапазон приемника — не менее 15 дБ. Выявление местонахождения радиозакладки после того, как ее сигнал был обнаружен, возможно как по самому радиосигналу путем пеленгования, так и по физическому проявлению как инородного тела в конструкциях здания, мебели и других предметах. Для определения места расположения путем радиопеленгования используются специальные радиоприемники, снабженные антеннами с выраженной диаграммой направленности, позволяющие с определенной точностью измерить направление сначала из одной точки, а затем из другой. Пересечение направлений дает на карте точку нахождения источника сигнала. Обнаружив местонахождение радиозакладки, поступают по-разному. Можно затеять радиоигру — дезинформацию. Одним из методов введения злоумышленника в заблуждение является передача ложных сведений. Применять этот метод, естественно, следует, если точно установлено, что переговоры подслушиваются. Дезинформация может иметь успех только при умелой ее организации, проведении продуманных мероприятий, способных ввести злоумышленников в заблуждение и заставить их принимать ложные сведения за действительные. Последним средством противодействия является физическое изъятие закладки из места ее установки. Особый случай — посещение злоумышленниками различных мероприятий, исключающее изъятие принесенных радиозакладок. В этом случае прибегают к постановке активных радиоэлектронных помех, нарушающих работу системы радиоподслушивания. Радиоэлектронные помехи — это непоражающие электромагнитные излучения, которые нарушают или затрудняют работу радиолинии «передатчик — приемник». Воздействуя на приемное устройство злоумышленника, помехи искажают, затрудняют или исключают выделение полезного сигнала. Под воздействием
Противодействие несанкционированному доступу к источникам ... помех радиолиния «закладка — приемный пункт» может вообще не работать, несмотря на полную исправность и работоспособность. В зависимости от способа наведения помех, соотношения ширины спектров помех и полезных сигналов помехи подразделяются на заградительные и прицельные. Заградительные помехи имеют ширину спектра частот, значительно превышающую полосу, занимаемую полезным сигналом, что позволяет его подавлять целиком в полосе частот. Такие помехи можно создавать, не имея точных данных о параметрах сигнала конкретного устройства. Так, например, генератор помех «СФЕРА-1» перекрывает сплошной заградительной помехой диапазон частот от 300 кГц до 10 ГГц. Особенностью заградительных помех является то, что при неизменной мощности передатчика помех их спектральная плотность мощности уменьшается по мере расширения спектра излучения. Прицельные помехи имеют ширину спектра, соизмеримую (равную или в 1,5 — 2 раза превышающую) с шириной спектра подавляемого сигнала. Прицельные помехи характеризуются высокой спектральной плотностью мощности, сосредоточенной в узкой полосе частот. Любой передатчик помех излучает модулированные высокочастотные колебания требуемой мощности в заданном диапазоне частот. Чаще всего такие передатчики излучают заградительную помеху в достаточно широком диапазоне частот. Передатчик помех состоит из источника шумового сигнала, модулятора и генератора несущей частоты. Основными техническими характеристиками передатчика являются: мощность и дальность действия; диапазон частот; диаграмма направленности излучения; вид модуляции сигнала (AM, ЧМ, ФМ) и характер помех — прицельная и заградительная. Мощность передатчика должна быть достаточной для того, чтобы в точке приема помехи превышали или были бы соизмеримы по мощности с сигналом радиозакладки. Это особенно характерно для речевых сигналов, обладающих повышенной помехоустойчивоетью, так как на приемной стороне человеческое ухо 8 Безопасность
Глава Е может различать полезные сигналы даже при наличии достаточно высокого уровня помех. Диаграмма излучения должна быть круговой, ибо не известно, в какой стороне расположен приемный пункт. Если же выяснено вероятное направление на приемный пункт, возможно использование направленных антенн. Минимально необходимое отношение мощности помехи Рп и сигнала Рс на входе подавляемого приемника, при котором достигается требуемая степень подавления, называется коэффициентом подавления по мощности Кп (Кп = Рп/Рс). Помеха считается эффективной, если ее мощность на входе подавляемого приемника больше полезного сигнала в несколько раз. В таблице 14 приведены характеристики некоторых типов генераторов помех.
ВАЗ. Обеспечение Оезопасности телефонных переговоров Проблема защиты телефонных переговоров в условиях широкой телефонизации общества становится весьма актуальной, т. к. злоумышленники широко пользуются подслушиванием и служебных и домашних телефонов. При этом широко используются такие способы, как подключение к телефонным линиям, установка в телефонную линию телефонных радиозакладок, высокочастотное навязывание и другие варианты подслушивания. Наибольшее распространение получает установка телефонных радиозакладок. В пространственном плане телефонная радиозакладка может быть установлена в помещении, где злоумышленнику нужно контролировать телефонные переговоры. Для этого телефонная радиозакладка может быть установлена непосредственно в телефонном аппарате, телефонной розетке или подключена в любой точке помещения к телефонным проводам. За пределами помещения телефонная радиозакладка может быть установлена в распределительной коробке и распределительном шкафу здания. Внутри здания особенно уязвим тракт от телефонного аппарата до распределительного шкафа. В этом случае возможна как установка радиозакладок, так и подключение к линии контактным или бесконтактным способом.
Противодействие нвсанкципннрованномд доступу к источникам ... Таблица 14
Характеристики некоторых средств постановки активных помех
227
Глава В От распределительного шкафа до АТС положен многожильный кабель, подключение к которому весьма затруднительно. Еще одним «слабым» звеном является АТС. На ней возможно подключение и установка радиозакладки непосредственно к той или иной ячейке. Угрожающие ситуации телефонному тракту представлены в виде модели подключения телефонных радиозакладок на рис. 90. Многообразие возможных ситуаций определяет многообразие мер и способов защиты телефонных разговоров. Очевидно, что обеспечить безопасность телефонного канала связи очень сложно и дорого. Экономически выгоднее воспользоваться устройствами, позволяющими закрыть сообщения, передаваемые по телефонным каналам, или применять организационные меры, обеспечивающие конфиденциальность переговоров. Простейшими и в то же время крайне важными мерами борьбы с подслушиванием телефонных переговоров являются мероприятия по обеспечению строгой дисциплины ведения телефонных переговоров. Внешней телефонной связью должен пользоваться ограниченный круг лиц. Никакие частные переговоры из выделенных помещений не допускаются. Наименования организаций, учреждений, должностных лиц, фамилии и другие сведения не должны употребляться в ходе переговоров. Запрещается передача по телефону распоряжений, отчетов, сведений о составе, состоянии и деятельности организаций и предприятий. При переговорах всегда нужно помнить, что злоумышленник «не дремлет». К организационным мерам защиты можно отнести планирование прокладки телефонных линий в зданиях и помещениях таким путем, чтобы было удобно их контролировать и трудно использовать возможности подслушивания. Прокладку телефонных, линий следует проводить с уменьшением возможного параллельного пробега и перекрещивания друг с другом. В целях своевременного определения постороннего включения необходимо обеспечить постоянное наблюдение сотрудниками телефонной службы за состоянием телефонных линий выделенных помещений.
Рис. 90
Глава Б О всяком изменении слышимости разговора или появлении шумов, тресков, могущих свидетельствовать о включении в линию подслушивающей аппаратуры, необходимо сообщать в службу безопасности. Организационной мерой является отключение телефонного аппарата от телефонной линии посредством разъемной розетки на период проведения конфиденциальных переговоров. Это достаточно универсальная мера противодействия от всех вариантов подслушивания. Таким образом просто ликвидируется источник (телефон) подслушивания. Весьма эффективной мерой противодействия подслушиванию переговоров является использование для ведения конфиденциального общения маскираторов речи или скремблеров. На сегодня техника шифрования речевых сигналов достаточно развита и появилась на рынке в виде удобных переносных или стационарных аппаратов, надежно шифрующих речевой сигнал до его подачи в телефонную линию. Скремблер — это автономное или встроенное устройство для засекречивания речевой информации, передаваемой по каналам проводной и радиосвязи. Выбор той или иной модели скремблера зависит от его конкретного применения и характеристик канала связи. Модели скремблеров, предлагающиеся на отечественном рынке, различаются назначением, конструктивным исполнением и возможностями, а также стойкостью засекречивания, порядком ввода ключа, качеством восстановленной речи, способом электропитания, конструкцией (встроенный или автономный) и другими характеристиками. Присутствуют на нашем рынке и импортные скремблеры. В таблице 15 приведены некоторые типы отечественных и зарубежных скремблеров. Что нужно учитывать, выбирая тот или иной скремблер? Тут необходимо исходить из того, где можно ожидать установки телефонных радио закладок. Возможны следующие ситуации. Ситуация 1. Телефонная радиозакладка установлена в микротелефонной трубке. Для защиты конфиденциальных переговоров в этом случае поможет только скремблер — телефонная трубка (рис. 91).
Противодействие несанкционированному двстуоу к источникам ... Таблица 15
Характеристики некоторых скремблеров
231
Глава В Окончание таблицы 15
232
Противодействие несанкционированному доступу к источникам
Рис. 93
233
Глава Б Ситуация 2. Радиозакладка установлена в корпусе телефонного аппарата. В этом случае скремблер необходимо включать в разрыв проводов микротелефонная трубка — телефонный аппарат (рис.92). Ситуация 3. Радиозакладка установлена в телефонной розетке контролируемого помещения. В этой ситуации скремблер устанавливается в разрыв проводов между телефоном и телефонной розеткой (рис.93). Вывод: скремблер устанавливается до возможного (реального) места расположения телефонной радиозакладки, излучающей радиосигнал в эфир. В обобщенном виде способы противодействия подслушиванию телефонных переговоров представлены в таблице 16. Таблица 16
Способы противодействия подслушиванию телефонных переговоров
234
Противодействие несанкционированному допру к источникам ... Окончание таблицы 16
6.4.4. Противодействие лазерному подслушиванию Совокупность мер по противодействию лазерному подслушиванию можно подразделить на выявление возможных точек расположения лазерного регистра- 235
Глава В тора, обнаружение реальных действий по обеспечению лазерного подслушивания и проведение защитных мероприятий.
Выявление возможный ТОЧЕК расположения лазерного регистратора При выборе позиции расположения лазерного регистратора злоумышленники решали прямую задачу: определить позицию размещения аппаратуры для подслушивания переговоров. С точки зрения защиты информации необходимо решить обратную задачу: определить возможные (опасные) места расположения лазерного регистратора по отношению к окнам конкретного, выделенного для конфиденциальных переговоров, помещения. Анализируются варианты выбора позиции: • направлении, перпендикулярном конкретному окну; • в направлении горизонтальной плоскости с расположением аппаратуры в разных точках; • расположение аппаратуры в разных точках и в разных плоскостях. В каждом Из вариантов изучаются расположенные напротив здания, расположение и назначение помещений в возможных точках установления аппаратуры. Особое внимание уделяется рабочим и нежилым вспомогательным помещениям, лестничным переходам, глухим тамбурам и другим местам, которые могут быть использованы злоумышленниками для размещения аппаратуры. Анализ возможностей злоумышленников начинается с пространственно-азимутальных измерений с учетом требований геометрических законов оптики. Для проведения азимутальных измерений используются различные приборы, такие, в частности, как теодолиты, буссоли и даже лазерные дальномеры. При отсутствии специальных приборов пространственноазимутальные исследования можно приближенно проводить с помощью обычного прямоугольного треугольника. Треугольник приставляется к окну катетом, а другой катет визируется как перпендикулярная на-
Противодействие несанкционированному доступу к источникам
правляющая на здания, расположенные напротив защищаемого помещения (рис. 94). При определении возможной позиции расположения аппаратуры лазерного подслушивания следует исходить из того, что злоумышленник будет направлять лазерный луч не обязательно в центр окна. Он может направлять луч и в отдельные зоны окна с учетом реальной обстановки, исходя из прямой доступности окна (рис. 95, 96).
Рис. 96. Вариант пространственно разнесенного расположения лазерного регистратора
237
Глава В Обнаружение Задачей обнаружения является установление реальных фактов использования лазерных регистраторов для подслушивания конфиденциальных переговоров. Для целей обнаружения разработаны специальные приборы оповещения о лазерном облучении. Так, норвежская фирма «Симрад» поставляет прибор, сигнализирующий об облучении объектов лазерными средствами. Этот прибор, получивший сокращенное наименование RLI, позволяет обнаруживать лазерное облучение в спектральном диапазоне от 0,66 до 1,1 мкм. Практически все современные лазеры работают на рубине с длиной волны 0,69 мкм; на арсениде галлия с длиной волны 0,84 — 0,89 мкм; на стекле с неодимом и алюмонатриевом гранате — 1,06 мкм. Этот прибор имеет четыре фотоприемника с полем зрения в 135° каждый для кругового обзора в горизонтальной плоскости. Для контроля облучения окна достаточно одного такого фотоприемника. Прибор RLI снабжен акустической и световой сигнализацией появления облучения. Акустический сигнал тревоги подается длительностью в 1 сек при появлении облучения при одноимпульсном облучении. При непрерывном облучении сигнализация постоянна. Световая сигнализация выдается с помощью светодиода. Аналогичные сигнализаторы лазерного облучения разработаны в США (LANAWS), Германии (COLDS), Югославии (LIRD), Франции (фирма LTPT). Находят применение для обнаружения лазерного излучения приборы ночного видения (ПНВ) в пассивном режиме, а также специальные датчики, работающие на эффекте свечения возбужденного ультрафиолетом фосфорного экрана при попадании на его поверхность сконцентрированного лазерного луча.
Противодействие подслушиванию конфиденциальных переговоров с помощью лазерных регистраторов речи обеспечивается организационными, организационно-техническими и техническими мерами. Эти мероприятия следует проводить с учетом особен-
Противодействие несанкционированному достру к источникам ... ыостей разведывательного контакта, устанавливаемого с помощью лазерного регистратора. Правомерно выделить следующие зоны или области проведения защитных мероприятий: • область собственно выделенного помещения с источниками акустических колебаний; • собственно оконные проемы как источники передачи колебаний во внешнюю среду; • область внешней среды. Все три области составляют элементы разведывательного контакта от источника акустической информации до злоумышленника (рис. 97).
Рис. 97. Модель разведывательного контакта
Чтобы предотвратить несанкционированный доступ к конфиденциальной информации, можно воздействовать на источник, на среду распространения энергии и на средство разведки. В общем плане защитные мероприятия с учетом выделенных областей разведывательного контакта можно представить следующей матрицей (таблица 17). Рассмотрим более подробно некоторые из этих мероприятий. Использование специальных покрытий и специальных стекол предусматривает: • индофтористое покрытие на стеклах — работает по принципу абсолютно черного тела, т. е. поглощает излучение лазера; • матовое покрытие стекол с высоким коэффициентом поглощения лазерных лучей; • применение ситалловых стекол. Ситалловые стекла обладают кристаллической поверхностью, рассеивающей падающие лучи. Определенные примеси в составе ситалловых стекол вызывают «пп активную флюоресценцию под воздействием па-
Глава В Таблица 17
Защита от лазерного подслушивания
дающих лучей, которая, в свою очередь, создает активную помеху лазерному подслушиванию и является отличным сигнализатором о лазерном облучении. Средства активной защиты окон представляют собой пьезокристаллические колебательные шайбы и электромагнитные генераторы шумов. Колебательные шай240 бы приклеиваются к поверхности стекла. К их обклад-
ПРОТИВОДЕЙСТВИЕ
несанкционированному доступу к источникам ...
кам подводится напряжение высокочастотных колебаний от генераторов шума и под его воздействием стекло колеблется с установленной для них частотой. Обычно генераторы шума работают в диапазоне звуковых частот от 10 Гц до 1 кГц. Важно, что подводимая мощность к окну значительно превышает мощность акустического сигнала, достигающего поверхности окна. Содержание остальных мероприятий не требует специального рассмотрения.
• 6.5. Противодействие незаконному подключению к линиям связи Различают два типа линий связи: в атмосфере (радиолинии) и направляющие (кабельно-проводные). Достоинства направляющих линий связи состоят в обеспечении требуемого качества передачи сигналов, высокой скорости передачи, большой защищенности от влияния посторонних полей, заданной степени электромагнитной совместимости, в относительной простоте оконечных устройств. Недостатки этих линий определяются высокой стоимостью расходов на строительство и эксплуатацию. По исполнению направляющие линии связи бывают кабельные, воздушные и волоконно-оптические. Направляющие системы, естественно, могут привлечь внимание злоумышленников как источники получения конфиденциальной информации за счет подключения к ним. Подключение к линиям связи может быть осуществлено контактным (гальваническая связь) и бесконтактным (индукционная связь) путем. Самым простым способом незаконного подключения является контактное подключение, например параллельное подключение телефонного аппарата, довольно широко распространенное в быту. Бесконтактное подключение к линии связи осуществляется двумя путями: • за счет электромагнитных наводок на параллельно проложенные провода; • с помощью сосредоточенной индуктивности, охватывающей контролируемую линию.
Глава В 6.5.1. Противодействие контактному подключению По физической природе параметры линии связи аналогичны параметрам колебательного контура, составленного из элементов R, L, С. Разница состоит лишь в том, что в контурах эти параметры являются сосредоточенными, а в линиях связи они равномерно распределены по всей длине. Параметры R и L, включенные последовательно (продольные), образуют суммарное сопротивление Z = R -Ь iwL, а параметры G и С (поперечные) — суммарную проводимость Y = G + iwC. Из указанных четырех параметров R и С обусловливают энергетические потери, a L и G — волновые изменения в линии связи. Распространение энергии по линии связи, ток и напряжение в любой точке цепи обусловлены в первую очередь коэффициентом распространения энергии g и волновым характеристическим сопротивлением линии ZB. Коэффициент распространения. Электромагнитная энергия, распространяясь вдоль линии связи, уменьшается по величине от начала к концу. Ослабление или затухание энергии объясняется потерями ее в цепи передачи. Следует различать два вида потерь энергии: в металле и в диэлектрике. При прохождении тока по кабельной цепи происходит нагревание токопроводящих жил и создаются тепловые потери энергии. С ростом частоты эти потери увеличиваются: чем больше активное сопротивление цепи, тем больше потери энергии в металле. Потери энергии в диэлектрике обусловлены несовершенством применяемых диэлектрикои затратами энергии на диэлектрическую поляризацию. Все эти потери учитываются посредством коэффициента распространения. Любое несанкционированное подключение к линии, последовательное или параллельное, приведет к изменению параметров линии связи. Это и приведет к демаскированию или выявлению такого подключения. Для выявления контактного подключения к линии связи с целью подслушивания или добывания конфиденциальной информации необходим тот или иной контроль технических параметров линии связи. Режим
Противодействие несанкционированному доступу к источникам контроля (постоянный, периодический, разовый) определяется местными условиями и наличием соответствующей контрольно-измерительной аппаратуры. Действие современных устройств контроля линий связи основано на измерении различных характеристик линии, таких как импеданс (полное сопротивление), сопротивление по постоянному току, напряжение и сила тока. При подключении к линии подслушивающей аппаратуры эти характеристики претерпевают определенные изменения. Обнаружение изменений позволяет принять решение о наличии подслушивания. Аппаратура проверки проводных линий. По своему назначению и конструктивному исполнению аппаратура проверки проводных линий может быть оперативной и профессиональной. К оперативным средствам можно отНормальный режим нести анализатор телефонной линии «АТЛ-1» (МПО «За^—Режим обнаружения щита информации»). Этот анализатор предназначен для защиты телефонной линии от несанкционированного подключения в нее любых устройств с сопротивлением до 5кОм (рис.98). К телефону При подключении прибора к телефонной линии линия К телефонной линии считается «чистой» и под такую линию прибор настраивается в Рис. 98. Анализатор режим контроля. При телефонной линии «АТЛ-1» несанкционированном подключении к линии загорается красный индикатор (режим обнаружения). При нормальной работе линии горит зеленый индикатор. Используются и более сложные профессиональные комплексы. Такие, например, как тест-комплект для проверки проводных линий (рис. 99).
243
Глава Б
Рис. 99
Такой тест-комплект предназначен для выявления гальванических подключений к любой проводной линии: • телеграфной и телефонной связи, звукозаписи и воспроизведения; • переговорных устройств, систем звукоусиления; • трансляции, сигнализации и пр. В комплект входят: анализатор, тестер, соединительные провода со щупами, съемные зажимы типа «крокодил», защитное устройство, кейс. Характеристики: • максимальная величина тока нагрузки при напряжении зондирующего сигнала 150 В— 1 ма; • частота зондирующего сигнала — 40 и 400 Гц; • дальность зондирования — 5000 м.
244
Зарубежные анализаторы телефонных линий представляют фирмы DYNATEL. Анализатор типа 965 МС представляет собой переносное устройство с микропроцессорным управлением, предназначенное для измерений, диагностики и определения мест повреждений проводников в телефонных кабелях (рис. 100). Анализатор обеспечивает возможность определения: • величины напряжения; • омического сопротивления обрывов — до 100 мОм; • мест понижения сопротивления изоляции —до 30 мОм; • величины тока; ш затухания;
Противодействие несанкционированному доступу к источникам
Рис. 100
и шума; • тонального сигнала; • а также обнаруживает устройства, которые регулируют напряжение или ток в линии (REG); • обеспечивает контроль за абонентской линией, набирает телефонный номер, хранящийся в памяти и предусматривает ручной набор (Dial); • выбирает тип батареи, режим заряда батареи, опознавание владельца (Auto-Call); • производит преобразование величин сопротивлений, выраженных в омах, в эквивалентную длину, выраженную в метрах, а также преобразует длину, выраженную в метрах, в величину сопротивления, выраженную в омах. Обнаружив факт несанкционированного подключения, необходимо установить, где оно осуществлено. Место контактного подключения определяется импульсным методом с помощью импульсных приборов. Импульсный метод основан на использовании явления отражения электромагнитных волн от места подключения к линии подслушивающего устройства. Зная скорость распространения электромагнитной энергии v и время t с момента посылки импульса и возврата его обратно, определяют расстояние до места подключения:
245
Главе В ЕСЛИ подключение осуществлено в пределах контролируемой зоны или территории, то используются организационные меры противодействия: изъятие подключенного устройства и защита коммуникаций физическими средствами и мерами. Если же подключение осуществлено за пределами контролируемой территории, следует принять определенные действия по защите информации: • не вести конфиденциальные переговоры по этой телефонной линии; • установить маскиратор речи.
Имеются средства более радикальной борьбы, например электрическое уничтожение (прожигание) подслушивающих устройств, установленных в телефонную линию на участке от АТС до абонентского телефонного аппарата. К числу таких устройств относится генератор импульсов КС-1300. Это устройство работает в ручном и автоматическом режиме. В ручном режиме пользователю дается право выбора момента подачи в телефонную линию сигнала уничтожения подслушивающего устройстве. В автоматическом режиме прожигающий импульс посылается в линию по регламенту с определенной частотой. Устройство обладает следующими техническими характеристиками: • количество подключаемых телефонных линий — 2; • временные интервалы, устанавливаемые таймером — от 10 минут до 2 суток; • мощность прожигающего импульса — 15 Вт; • потребляемая мощность — 40 Вт; • питание — сеть 220 В. В качестве мер защиты внутренних коммуникаций от незаконного подключения необходимо: • экранирование всех коммуникаций, по которым ведутся конфиденциальные переговоры; • установка средств контроля мест возможного доступа к линиям связи; • использование телефонных систем внутреннего пользования без их выхода в город и другие меры.
Противодействие несанкционированному доступа к источникам ... В.5.2. Противодействие бесконтактному подключению Бесконтактный (индуктивный) съем информации осуществляется путем прикосновения бесконтактного датчика к телефонной линии и прослушивания переговоров на головные телефоны или их записи на магнитофон (рис. 101).
Рис. 101. Вариант бесконтактного съема информации
Индукционный контакт датчика с телефонной линией не вносит никаких изменений в параметры телефонной линии, что весьма ограничивает возможности по обнаружению такого контакта техническими средствами, особенно в том случае, если телефонная линия не подвергается физическим воздействиям. Если же попытка подключения совершается по отношению к экранированным телефонным линиям, то есть определенные возможности обнаружить бесконтактное подключение приборными средствами. При бесконтактном подключении к экранированным кабелям частично снимается экранирующая оплетка. Этого уже достаточно, чтобы обнаружить повреждение экранного покрытия. Точное определение места повреждения экрана определяется импульсным методом точно так, как это делалось при контактном подключении. Более точно место повреждения определяется подачей в линию звуковых частот и их приемом при движении по трассе кабеля специальным поисковым прибором (рис. 102).
247
Глава
Рис. 102
Этот специальный поисковый прибор предназначен для точного определения места повреждения кабелей связи. Прибор работает совместно с генератором звуковых частот, работающим на частотах 1,03 кГц и 10 кГц. Мощность сигнала генератора звука при работе от встроенных батарей составляет 3 Вт, а при питании от внешней батареи или от сети — 10 Вт. Поиск места повреждения осуществляется проходом по трассе кабеля и определением места излучения звуковой частоты, посылаемой в линию звуковым генератором. Противодействие бесконтактному подключению осуществляется также организационными и организационно-техническими мерами. В качестве последних рекомендуется использовать генераторы шума и специальные защитные модули. К таким можно отнести универсальный телефонный защитный модуль, способный подавлять индуктивные съемники, микропередатчики, блокировать автопуски диктофонов. Кроме того, отдельные образцы таких модулей обеспечивают контроль малейших изменений, производимых в телефонных линиях. Не исключается и посылка прожигающего импульса в линию предполагаемого бесконтактного съема информации.
6.6. Защита от перехвата 248
Перехват — это способ несанкционированного получения конфиденциальной информации за счет приема электромагнитных сигналов радиодиапазона.
Противодействие несанкционированном!] доступу к источникам ... Радиоперехват как способ несанкционированного получения конфиденциальной информации обладает определенными особенностями: • осуществляется без непосредственного контакта с объектом криминальных интересов; • охватывает большие расстояния и пространства, пределы которых определяются особенностями распространения радиоволн различных диапазонов; обеспечивается непрерывно в разное время года и суток и при любой погоде; • обеспечивает получение достоверной информации, поскольку она исходит непосредственно от источника; • позволяет добывать самую различную информацию статистического и оперативного характера; дает интересующую информацию в реальном масштабе времени и зачастую в виде упреждающих событий (приказы на проведение тех или иных действий); • осуществляется скрытно; источник информации, как правило, не в состоянии установить факт несанкционированного доступа. Источниками излучения радиоволн различных диапазонов являются: • средства радиосвязи, предназначенные для обеспечения мобильной и стационарной систем, в том числе спутников, радиорелейных и других; • средства сотовой радиосвязи; • средства пейджинговой связи; • средства оперативной служебной радиосвязи; • сигналы радиотелефонных удлинителей; • сигналы радиомикрофонов; • сигналы технических средств и систем (радиолокационные, радионавигационные системы, сигналы средств электронно-вычислительной техники и пр.); • другие системы открытого излучения радиосигналов связного или технологического характера (например, средств обеспечения полетов самолетов, средств спасания на водах и пр.). В качестве примера возможности установления информационного контакта между средствами злоумышленника и источниками радиосигналов рассмотрим частную модель радиоперехвата (рис. 103). 248
ЧАСТНАЯ
Источник конфиденциальной информации
Источник электромагнитного излучения
ХАРАКТЕРИСТИКИ Диапазон радиоволн Значение несущей частоты Мощность излучения Tan и высота антенны Ширина спектра высокочастотного сигнала 6. Параметры модуляции 1. 2. 3. 4. 5.
МОДЕЛЬ
РАДИОПЕРЕХВАТА
1. Координаты «объект—субъект» 2. Характер поверхности на трассе
Средства перехвата
Злоумышленник
3. Уровень электромагнитных помех
1. Чувствительность приемника 2.Тип и высота антенны
Противодействие несанкционированному доступу к источникам ... Модель содержит общие характеристики источника радиосигналов, определяющих возможную дальность их распространения в пространстве, среду распространения радиоволн и условия, влияющие на ее характеристики и средства злоумышленника, предназначенные для приема радиосигналов. Соблюдение баланса характеристик объекта, условий, среды и параметров средств разведки позволит установить информационный контакт и зафиксировать необходимые характеристики источника. Имея определенные методики, можно рассчитать возможность установления такого контакта в конкретных условиях. Условия установления информационного контакта рассмотрим для случая перехвата информации средствами радиоэлектронной разведки. Для этого воспользуемся параметрической моделью такого информационного контакта (рис. 104). Возможность установления информационного контакта выражается вероятностью RQ Определить вероятность перехвата электромагнитного сигнала средствами злоумышленника можно с помощью следующей формулы: где к — коэффициент размерности (=7); q— отношение мощности сигнала к мощности шума в точке приема. Значение q определяется из формулы 7 •
16 •
Ю-з . р^
_
I Q I O I 1
( С и
+
G C
_
N Q
+
^
z c
f • Afс
где Р и — мощность источника сигнала; fc — несущая частота; А /с — ширина спектра сигнала; GH — коэффициент усиления антенны источника; G c — коэффициент усиления антенны приемника злоумышленника; N o — спектральная плотность мощности шумов на входе приемника; Zo — ослабление радиоволн в среде распространения при заданных условиях. 251
гчэ
СП
Рис. 104
Противодействие несанкционированному доступу к источникам ... Пример. Определить вероятность перехвата электромагнитного сигнала портативными средствами злоумышленника при соотношении сигнал/шум q = 4,5 • 108. Ro = ехр ( - , 1 \ = ехр ( ) = >0 . г v v 1 + q' 1+4,5-108 Следовательно, К = е*~° = 1. При этих условиях вероятность перехвата сигнала равна 1, т. е. сигнал может быть уверенно принят средствами злоумышленника. Подобное описание энергетических и пространственных соотношений, положенных в основу расчетов, приводится в специальной литературе и соответствующих методических и нормативных материалах. Дальность действия линии разведывательного контакта «Передатчик источника — приемник злоумышленника» определяется энергией (мощностью) передатчика и может быть рассчитана с помощью следующей формулы: э^2Л
Dmax =
(47i)28 m i n RT z - Af • L
где: Р п е р — мощность передатчика; G n e p — коэффициент усиления антенны передатчика; G n p — коэффициент усиления антенны приемника; X — длина волны передатчика; Т) — коэффициент потерь в среде распространения; f — полоса сигнала; L — коэффициент запаса на неучитываемые факторы (обычно лежит в пределах 3... 10); Smin — минимально допустимое превышение сигнала над шумом по мощности; R — постоянная Больцмана; TNT — суммарная шумовая температура на входе приемника. Дальность перехвата сигналов ПЭВМ можно охарактеризовать такими показателями, учитывающими конструктивные особенности дисплея и антенных систем злоумышленника (таблица 18).
Глава Б Таблица 18 Характеристика антенны злоумышленника Ненаправленная Направленная
Конструкция корпуса ПЭВМ пластмассовый
металлический
50 м
10 м
1000 м
200 м
Математические расчеты могут быть подкреплены конкретными действиями по определению реальной возможности установления информационного контакта путем приема сигналов своих средств специальными приемными устройствами с изменением расстояний приема и азимутовых направлений их расположения. Используя измерители сигналов, можно составить графики уровня излучаемых сигналов в конкретных условиях на конкретной местности. Результаты математических расчетов и экспериментальных инструментальных измерений позволят четко определить опасность тех или иных сигналов в условиях конкретного их расположения на местности. Методы защиты от перехвата в общем плане приведены на рис. 105.
254
Опыт работы отечественных и зарубежных специальных служб и служб безопасности предпринимательства позволяет утверждать: 1. Доступ к источникам конфиденциальной информации является весьма серьезной угрозой информационной безопасности различным органам, фирмам, гражданам и предприятиям. 2. В практике промышленного шпионажа для получения интересующей злоумышленников информации находят широкое применение самые различные способы получения конфиденциальной информации, особенно с помощью технических средств несанкционированного доступа к охраняемым секретам, разрабатываемые на основе самых последних достижений науки и техники.
МЕТОДЫ ЗАЩИТЫ ОТ ПЕРЕХВАТА
ОРГАНИЗАЦИОННЫЕ
Территориальные ограничения
пространственные ограничения
Временные ограничения
Умелое расположение РЭС на местности, исключающее прием радиосигналов
Выбор направления излучения в сторону наименьшей возможности приема сигналов
Сокращения до минимума времени излучения
ОРГАНИЗАЦИОННОТЕХНИЧЕСКИЕ
Пространственные - использование направленных антенн; - уменьшение ширины диаграммы направленности антенн; - ослабление боковых и заднего лепестков
Режимные Использование скрытых режимов передачи информации
Рис. 105 по
СП
Энергетические Снижение интенсивности излучения за счет: - уменыцения мощности; - уменьшения длины антенны
ев
ТЕХНИЧЕСКИЕ
Скрытие
Снижение заметности - использование радиомолчания; - создание пассивных помех; - использование средств маскирования
Подавление -
создание активных помех
Техническая дезинформация -
организация ложной работы, - изменение режимов; - имитация работ РЭС; - т РЭС; ложных характеристик
Глава В 3. Противодействие несанкционированному доступу к источникам конфиденциальной информации требует создания сложной и четко организованной системы противодействия. Здесь важным является принцип: оружие защиты должно быть адекватным оружию нападения.
Глава 7 КОНФИДЕНЦИАЛЬНОСТЬ ПРИ РАБОТЕ С ЗАРУБЕЖНЫМИ ПАРТНЕРАМИ*
• 7.1. Направления взаимодействия с зарубежными партнерами 7.1.1. Научно-техническое СОТРУДНИЧЕСТВО С зарубежными партнерами В настоящее время бесспорен тот факт, что результаты созидательной интеллектуальной деятельности (новые технические и технологические решения, разработки, «ноу-хау» и т. д.) коллектива специалистов или отдельного исследователя, разработчика являются товаром, который может быть продан, куплен, обменен и украден. На сегодняшний день самые выгодные виды интеллектуального товара, которые достаточно широко продаются и покупаются — это программные продукты: программы, пакеты прикладных программ, системное программное обеспечение. Это связано с бурными темпами компьютеризации общества. Второе место занимают технологии — с целью их продажи создаются специальные биржи; затем — изобретения, «ноу-хау», материалы экспертных оценок, банки и базы данных. Продажа и покупка остальных видов интеллектуального товара осуществляется нерегулярно, хотя в зарубежной практике дело обстоит иначе, например, достаточно перспективная научно-техническая идея может быть украдена и в короткое время реализована в конкретном материальном продукте. В последние годы наблюдается активизация международного научно-технического сотрудничества. * Использовании материалы Мосягиной Е.А., Шевцовой Г.А. 9 Безопасность
257
Глава 7 Участвуя в р а з л и ч н ы х ф о р м а х международного разд е л е н и я и к о о п е р а ц и и труда, р о с с и й с к и е предприниматели заключают многочисленные контракты, соглашения, договора. Выборочный а н а л и з последних свидетельствует об отсутствии у российской стороны необходимых знаний и опыта по их составлению, в том числе в части вопросов, связанных с интеллектуальной собственностью. Результатом этого являются существенные экономические потери российской стороны, которые находят свое конкретное отражение в: а) потере всех прав, в том числе и патентных, вне территории стран СНГ (а иногда и на этой территории) на интеллектуальную собственность, впервые созданную или доведенную до практики при выполнении контракта (договора, соглашения); б) в безвозмездной передаче в процессе выполнения соглашения принадлежащей ей интеллектуальной собственности; в) блокировании процесса дальнейшего создания и коммерческого использования усовершенствований, самостоятельно разработанных ею после окончания срока действия контракта, соглашения, договора; г) к р а й н е з а н и ж е н н о й цене контракта; д) невозможности защитить принадлежащие российской стороне права в соответствии с российским судопроизводством. Это происходит вследствие: 1) отсутствия учета специфики российского рынка научных подрядчиков, представляющих собой, в основном, государственные научные организации с государственным финансированием, а следовательно, роли регулирования соответствующих отношений собственности со стороны правительства России; 2) использования только положений законодательных актов страны-партнера при отсутствии ссылок на соответствующие положения российского законодательства; 3) нарушения ряда положений российского законодательства, относящихся, в частности, к процедурам зарубежного патентования, экспортного контроля, договорным отношениям, недействительности договоров и т. д.;
Конфиденциальность при работе с зарубежными партнерами 4) отсутствия учета приносимого в процесс взаимодействия собственного интеллектуального вклада российской стороны; 5) чрезмерно широкого определения понятий «предмет соглашения», «изобретение», «право на использование», «совместный» и «собственный» (проприетарный) результат и других; 6) декларации действительности только иностранного текста контракта, а зачастую в отсутствии или неправильном переводе на русский язык раздела контракта, посвященного интеллектуальной собственности; 7) неучтенной стоимости передаваемых российской стороной патентных прав; 8). отсутствия механизма выявления нарушителей прав на объекты интеллектуальной собственности и мер, направленных на пресечение этих нарушений; 9) невыполнения ряда положений межправительственных соглашений в части, касающейся интеллектуальной собственности*. Игнорирование вышеперечисленных аспектов может привести к конфликтным ситуациям, подорвать доверие к процессу эффективного и взаимовыгодного сотрудничества.
Одним из аспектов является правильное составление соглашений о совместном сотрудничестве, где необходимо точно определить тип соглашения (договора), которое имеет первостепенное значение, т. к. из него вытекают отношения сторон к правам на владение интеллектуальной собственностью. Преобладающими формами научно-технического взаимодействия между российскими и зарубежными организациями в настоящее время являются соглашения о научно-техническом сотрудничестве и договоры подряда. Между этими формами на практике неспециалисту трудно провести четкую грань. В ряде случаев они * «Рекомендации о мероприятиях по совершенствованию системы создания защиты научно-технических достижений и механизмов их использования в Российской Федерации», Распоряжение правительства РФ №540-р от 20.04.95.
Глава 7 выступают как крайние формы правового взаимодействия партнеров, между которыми возможны самые различные варианты. Для соглашений о научно-техническом сотрудничестве характерно согласованное выполнение программы научно-исследовательских, проектно-конструкторских и экспериментальных работ в целях достижения единого результата. По своему содержанию обязательства сторон в соглашениях о сотрудничестве — это взаимные обязательства по выполнению исследовательских и научно-технических работ. Важнейшим условием соглашения о сотрудничестве является наличие у партнеров общей хозяйственной цели (совместной деятельности по созданию и использованию результатов работы.) Поэтому обязательства сторон в соглашениях о сотрудничестве не противостоят друг другу, а являются общими, едиными. Для договоров подряда характерно, что одна сторона (подрядчик) за установленную договором плату обязуется выполнить по заказу другой стороны (заказчика) определенные в договоре подряда научно-технические работы и передать заказчику их результаты или оказать услуги научно-технического характера. У каждой из сторон такого договора имеются собственные (несовпадающие) интересы, в связи с чем их обязательства носят встречный, противостоящий друг другу характер.
Отражен ив в соглашениях вопросов интеллектуальной собственности 1) Интеллектуальная собственность в договорах подряда. Поскольку при проведении заказных работ творческий вклад в результирующую информацию вносится только одной стороной (подрядчиком), выполняющей работу за счет другой стороны (заказ.чика), в договорах подряда, как правило, не возникает совместных прав на владение объектами интеллектуальной собственности. Охранные документы в этом случае приобретаются либо на имя подрядчика, либо на имя заказчика. Определяющими критериями на практике . . . выступают интеллектуальный и финансовый вклады сторон в создание интеллектуальной собственности.
Конфиденциальность при работе с зарубежными партнерами Независимо от того, на чье имя выданы охранные документы на объекты интеллектуальной собственности, патенты на изобретения, свидетельства на полезные модели и т. д., каждая из сторон имеет определенные права на использование интеллектуальной собственности, полученной в ходе выполнения подрядных работ. 2) Интеллектуальная собственность в соглашениях о сотрудничестве. Полученные в ходе выполнения соглашений о сотрудничестве результирующая информация, результирующий патент, результирующее программное обеспечение, как правило, являются совместной (долевой) собственностью сторон. Доли участников долевой собственности устанавливаются соглашением сторон, а при его отсутствии признаются равными. Соглашением участников долевой собственности может быть установлен порядок определения и изменения их долей в зависимости от вклада каждого из них в образование и приращение общей собственности*. В соглашениях о сотрудничестве особое внимание следует уделить вопросам распределения прав на результаты работ, полученные в рамках сотрудничества каждой из сторон, но не являющиеся конечным результатом сотрудничества, так называемые промежуточные результаты сотрудничества. Анализ мировой практики заключения соглашений в области международного научно-технического сотрудничества показывает, что большинство соглашений предусматривает, что каждая из сторон имеет право на неограниченное использование промежуточных результатов работ на территории своей страны. Для передачи таких результатов в третьи страны требуется согласие всех сторон соглашения. Доходы при этом распределяются между сторонами пропорционально зафиксированной в соглашении доле их участия.
Защита прав на совместные объекты интеллектуальной собственности от нарушений третьими лицами должна осуществляться сторонами совместно либо Статья 245 ГК РФ
261
I
Глава 7 по согласованию с партнером той стороной, которая вела работу по получению правовой охраны в стране, где нарушены соответствующие права. Меры по защите нарушенных третьими лицами прав на собственные изобретения в стране партнера, созданные сторонами в ходе сотрудничества и переданные друг другу для использования, должны быть четко определены в соглашении о сотрудничестве или договоре подряда. На практике возможны следующие варианты: 1) меры по защите нарушенных третьими лицами прав предпринимаются той стороной, которой такие права принадлежат; 2) меры по защите нарушенных третьими лицами прав предпринимаются обеими сторонами; 3) меры по защите нарушенных третьими лицами прав предпринимаются тем партнером, в стране которого произошло нарушение указанных прав, ибо он обладает большими возможностями по организации защиты в своей стране. Аналогичным образом в соглашении следует определить процедуру защиты в случае предъявления в стране партнера претензий или исков со стороны третьих лиц. Соглашения и договоры подряда рекомендуется готовить на двух языках: русском и языке иностранного партнера, сделав специальную оговорку в соглашении или договоре о том, что каждый из текстов имеет одинаковую юридическую силу.
7.1.2. Научно-техническое сотрудничество Научно-техническое сотрудничество — это процесс создания знаний и технологий, обмена ими, процесс, в котором результаты научно-технической деятельности выступают как специфический товар, имеющий потребительскую стоимость. Он разделяется на товар нематериальный: знания, навыки, методы; и материальный: оборудование, инструменты, оснастка и другое. Процесс обмена знаниями и технологиями формирует в самом общем виде рынок техноло-
Конфиденциальность ори работе с зарубежными партнерами гий с присущим ему инструментарием рыночных отношений. Объектами научно-технического сотрудничества и технологического обмена являются патенты на изобретения, промышленные мидели и полезные образцы, «ноу-хау» (производственный опыт и знания), услуги (инжиниринг), техническая документация, техническая помощь, а также оборудование, машины и другая техника и технологии, в которых материализованы научно-технические знания. В Российской Федерации в настоящее время действует пакет законов, регулирующих обмен технологиями и соответствующих аналогичным законам ведущих стран мира: Патентный закон; Закон «О товарных знаках, знаках обслуживания и наименования мест происхождения товаров»; Закон «О правовой охране программ ЭВМ и баз данных»; Закон «О правовой охране технологии интегральных схем» (приняты на Пятой сессии Верховного Совета Российской Федерации 23 сентября 1992 г.). Патентный закон РФ регулирует правовую охрану изобретений и промышленных образцов, при этом введена единая форма охранного документа — патент на изобретения и промышленные образцы и свидетельство на полезную модель. Постановлением Правительства РФ от 12 июля 1993 г. № 648 установлен порядок использования изобретений и промышленных образцов, охраняемых действующими на территории Российской Федерации авторскими свидетельствами на изобретения и свидетельствами на промышленный образец, и выплаты их авторам вознаграждения. Постановление распространяется на ранее выданные свидетельства СССР и устанавливает, что юридические лица, независимо от форм собственности, и физические лица, занимающиеся предпринимательской деятельностью, используют изобретения и промышленные образцы, охраняемые действующими на территории Российской Федерации авторскими свидетельствами СССР на изобретение и свидетельствами СССР на промышленный образец, без специального на то разрешения. Учитывая необходимость сохранения и развития научно-технического потенциала и более широкого
|
Глава 7 использования достижений науки и техники для структурных преобразований экономики России, государственное регулирование технологического обмена расширяет инструментарий стимулирования разработки и использования изобретений, промышленных образцов и полезных моделей за счет механизма льготного налогообложения и других льгот владельцам охранных документов. В частности, разработаны методы" учета нематериальных активов (изобретений, полезных моделей и других видов творческой деятельности), а также оценки интеллектуальной собственности в рамках сотрудничества (как правило, совместной деятельности) и перенесения их стоимости на издержки по совместной деятельности, что предполагает освобождение от налогов суммы общих затрат на совместную деятельность по доведению, к примеру, изобретения до конечного результата, оговоренного в документе, регулирующем сотрудничество (договор, контракт, соглашение).
Рынок технологий Как и любой другой, рынок технологий имеет свою структуру, основными элементами которой являются товар, его производство и потребление, а также физические и юридические лица как субъекты рыночных отношений. Особенность технологии состоит в том, что она может выступать в качестве товара только в случае, если ее владелец обладает исключительным правом собственности на нее. Если же знания, лежащие в основе новой технологии, широко известны, то возможности получения коммерческих преимуществ от ее реализации отсутствуют, и, следовательно, становится невозможным и получение дополнительной прибыли. Поэтому охрана права интеллектуальной собственности является неотъемлемым элементом рынка технологий. Международный технологический обмен играет существенную роль в современных мирохозяйственных связях. Это связано с тем, что развитие науки и техники, которое лежит в основе производства новых 264знаний, имеет глобальный характер, и знания легче,
Конфиденциальность при работе с зарубежными партнерами чем любой другой товар, пересекают национальные границы. В соответствии с методологией ООН, технология подразделяется на высокую, среднюю и низкую. Наиболее мощным коммерческим потенциалом обладает высокая технология. Обмен ею приходится преимущественно на промышленно развитые страны. Средняя и низкая технологии для рынков этих стран практически не представляют коммерческой ценности, так как они широко распространены и их внедрение в большинстве случаев не создает условий для получения дополнительной прибыли. Средняя и низкая технологии обладают коммерческим потенциалом на рынках развивающихся стран, так как на уровне их научно-технического и экономического развития они обладают «новизной». Однако фирмы этих стран, освоив свои национальные рынки, сталкиваются с серьезными затруднениями при попытках экспорта своей продукции, произведенной на основе этих технологий. Поэтому поток технологий по мере их старения направлен из более развитых к отстающим в своем развитии странам. Российским импортерам зарубежных технологий следует особенно внимательно относиться к оценке коммерческого потенциала приобретаемой технологии не только для внутреннего рынка, но и для будущего экспорта продукции, производимой с использованием этих технологий. Вместе с тем при продаже российских технологий за рубеж следует уделять особое внимание правильному выбору формы и способа передачи технологии. Ошибки в этой области ведут не только к существенным коммерческим потерям, но и к утрате научнотехнического приоритета, лидерства в перспективе на мировых рынках. Участником технологического обмена может быть любое физическое или юридическое лицо, как индивидуальное, так и коллективное (объединения, компании, фирмы, товарищества и ассоциации), а также любые их сочетания, независимо оттого, кем они были созданы, кому принадлежат, кем контролируются (государством, правительственными учреждениями, юридическими лицами или отдельными гражданами), где функционируют, и независимо от форм собственности.
Глава
7
Под потребителем технологии подразумевается сторона, которая получает право (лицензию) на использование или эксплуатацию технологии, носящей патентный или не патентный характер, покупает или каким-либо иным образом приобретает технологию или право на нее. Под поставщиком технологии подразумевается сторона, которая предоставляет, продает, передает или каким-либо иным образом поставляет технологию, носящую патентный или не патентный характер, или право на нее. Существует несколько путей технологического обмена. Наиболее распространено разделение потока технологического обмена на коммерческие и некоммерческие, международные, внутригосударственные и внутрифирменные варианты передачи технологии. К некоммерческим вариантам технологического обмена относятся: • свободное распространение научно-технической информации (научно-технической, учебной литературы, справочников, обзоров, стандартов, описаний патентов, каталогов, проспектов и т. д.); • обмен информацией в ходе международных конференций, сессий, симпозиумов и выставок; • научный обмен, обучение и стажировка ученых и специалистов на бесконтрактной основе или на условиях паритетного возмещения расходов сторонами. По каналам некоммерческого обмена чаще всего проходит передача технологий в области научных исследований фундаментального характера. Обмен технологией по некоммерческим каналам обычно сопровождается небольшими расходами, в том числе валютными. Он может осуществляться как по государственной линии, так и частным образом на основе личных контактов. Передаче технологий прикладного характера больше соответствуют коммерческие каналы, по которым в форме сделок осуществляются: продажа или предоставление по лицензии всех форм промышленной и интеллектуальной собственности;
Конфиденциальность при работе с зарубежными партнерами • передача «ноу-хау» и технического опыта в виде технико-экономических обоснований, планов, диаграмм, моделей, образцов, инструкций, руководств, формул, сборочных или рабочих чертежей, спецификаций, технологической оснастки и инструмента, услуг консультантов и подготовки кадров; • передача технических знаний, необходимых для монтажа, эксплуатации предприятий, цехов и оборудования, а также проектов по строительству объектов «под ключ»; • предоставление технологических знаний в рамках соглашений о совместной научно-технической деятельности, совместном производстве и сбыте; контрактов на приобретение и монтаж машин, оборудования, полуфабрикатов или сырьевых материалов или их аренду (лизинг). На рынке технологий действует сеть покупателей и продавцов, соединенных посредническими звеньями инновационной инфраструктуры. В обобщенном виде она складывается из следующих элементов: • исследовательских, внедренческих и инновационных форм и компаний, университетов и учреждений, предлагающих результаты своих разработок; • бирж, торговых домов, ярмарок, аукционов, магазинов и других мест совершения сделок, которые специализируются на определенных видах продаваемых знаний; • посреднических компаний, предоставляющих профессиональные услуги продавцам и покупателям технологии (инжиниринговых, консультационных, аудиторских, лизинговых, информационных и других). • фондов рискового капитала, кредитных учреждений и банков; • национальных, региональных и международных информационных центров, снабжающих всех участников купли-продажи конкретного вида технологии информацией, в том числе и о зарубежных рынках; • региональных и национальных союзов и консорциумов, холдингов и т. д., содействующих развитию рынков конкретных видов технологии.
7.1.3. Виды коммерческих международных операций Объектами международных коммерческих операций являются материально-вещественная продукция и услуги, включая результаты производственного и научно-технического сотрудничества, приобретающие в обмене форму товара. Эти объекты определяют виды коммерческих операций, осуществляемых на мировом рынке. Международные коммерческие операции подразделяются на основные, осуществляемые на безвозмездной основе между непосредственными участниками этих операций (контрагентами разных стран), и обеспечивающие, связанные с продвижением товара от продавца к покупателю. К основным коммерческим операциям относятся операции: • по обмену научно-техническими знаниями (в форме торговли патентами, лицензиями, «ноу-хау»); • по обмену техническими услугами (консультативный и строительный инжиниринг); • технологический обмен; • по предоставлению консультационных услуг в области информации и совершенствования управления. Осуществление международных операций требует применения определенных правовых форм и использования конкретных методов их проведения. Правовой формой, опосредствующей международные коммерческие операции является международная торговая сделка, обязательное условие которой — заключение ее иностранным контрагентом. Под международной торговой сделкой понимается договор (соглашение) между двумя или несколькими сторонами, находящимися в разных странах по поставке установленного количества товарных единиц и/или оказания услуг в соответствии с согласованными сторонами условиями. Международный характер договора вытекает из того, что его субъектами (сторонами) являются коммерческие предприятия (фирмы), находящиеся в разных странах. Договор купли-продажи не будет считаться международным, если он заключен между сторонами раз-
Конфиденциальность при рабств с зарубежными партнерами ной государственной (национальной) принадлежности, коммерческие предприятия (фирмы) которых находятся на территории одного государства (например, между филиалами и дочерними компаниями фирм разных стран, находящихся на территории одной страны). В то же время договор признается международным, если он заключен между сторонами одной государственной (национальной) принадлежности, коммерческие предприятия которой находятся на территории разных государств. Такое толкование договора содержится в конвенции ООН о договорах международной купли-продажи товаров (Венская конвенция 1980 года) и в Новой гаагской Конвенции о праве, применимом к договорам международной купли-продажи 1985 года. Основные виды международных коммерческих операций можно охарактеризовать кратко следующим образом. ' Операции по торговле научно-техническими знаниями (опытом) отличаются от операций по торговле материальными ценностями тем, что предметом международного обмена в них выступают результаты деятельности, которые принято считать «невидимым» товаром. Операции по торговле научно-техническими знаниями связаны с обменом результатами производственных научных исследований и разработок, имеющих не только научную, но и коммерческую ценность. В качестве товара здесь выступают продукты интеллектуального труда, облеченные в форму патентов, лицензий, товарных знаков, промышленных образцов, представляющих собой часть так называемой промышленной собственности, а также технические знания и опыт, объединяемые понятием «ноу-хау», включающих передачу знаний и опыта путем предоставления технической документации, чертежей, секретов производства, не подлежит патентованию. Научно-технические знания поступают в международный оборот либо на основе купли-продажи (при продаже патентов), либо — отношений, возникающих в связи с получением временного права пользования результатами на базе международных лицензионных
соглашений.
269
Глава 7 Операции по обмену лицензиями состоят в предоставлении права (разрешения) одной стороной — патентовладельцем, именуемым лицензором, другой стороне — лицу (или фирме), именуемому лицензиатом, на промышленное и коммерческое изобретения, пользующегося патентной защитой в течение обусловленного срока за определенное вознаграждение. Предоставление иностранному контрагенту лицензий на использование изобретений, технических знаний и опыта, а также товарных знаков называется заграничным лицензированием. Операции по торговле техническими услугами, получившими в международной практике название инжиниринговых. Как самостоятельный вид международных коммерческих операций инжиниринг предполагает предоставление на основе договора на инжиниринг одной стороной, именуемой консультантом, другой стороне, именуемой заказчиком, комплекса или отдельных видов инженерно-технических услуг, связанных с проектированием, строительствам и вводом объекта в эксплуатацию; с разработкой новых технологических процессов на предприятия заказчика; усовершенствованием имеющихся производственных процессов вплоть до внедрения изделия в производство. Предоставление на основе договора на инжиниринг полного комплекса услуг и поставок, необходимых для строительства нового объекта, называется комплексным инжинирингом. Он включает три отдельных вида инженерно-технических услуг, каждый из которых может быть предметом самостоятельного договора: • консультативный инжиниринг, связанный главным образом с интеллектуальными услугами в целях проектирования объектов, разработки и планов строительства и контроля за проведением работ; • технологический инжиниринг, состоящий в предоставлении заказчику технологии или технологий, необходимых для строительства промышленного объекта и его эксплуатации (договоры на передачу производственного опыта и знаний), разработки и планов строительства и контроля за проведе270 нием работ;
Конфиденциальность при работе с зарубежными партнерами • строительный и/или общий инжиниринг, состоящий главным образом в поставках оборудования, техники и/или монтажа установок, включая в случае необходимости инженерные работы. Инженерно-консультационные услуги предоставляются в виде технической документации, результатов исследований, исходных данных для строительства, экономических расчетов, смет, рекомендаций и т. д. В этой работе следует руководствоваться разработанным (в 1982 г.) группой экспертов по международным договорам на поставку промышленной продукции Комитета по развитию торговли ЕЭК ООН «Руководством по составлению международных договоров на консультативный инжиниринг, включая связанные с этим аспекты технического содействия». Оно содержит подробный перечень и характеристику условий, необходимых для включения в договор между консультантом и заказчиком, а также перечень услуг, предоставляемых инженером-консультантом. В него включаются, в частности, следующие услуги: • проведение предварительных технико-экономических обоснований и исследований, связанных с общим проектированием; • планирование и подготовка чертежей и смет расходов; • подготовка предварительных эскизов, проектной документации, детальных чертежей и спецификаций; • планирование и составление программы финансирования; • подготовка технических условий для участия в торгах и выдача рекомендаций по поступающим предложениям; • оценка предложений о строительстве объектов; • контроль за строительством, изготовлением оборудования, монтажом, наладкой и пуском оборудования в эксплуатацию; • выдача сертификатов о качестве проведенных работ и других. Сотрудничество по реализации коммерческих oneраций международного производственного и научно-
Глава 7 технического сотрудничества зарубежных фирм выступает как результат определенной организационноуправленческой деятельности, целью которой является заключение соглашений: • о специализации и кооперировании производства; • об организации совместного строительства объектов и их эксплуатации; • о поставке крупных промышленных объектов с компенсацией (оплатой) товарной продукции; • о кооперации в области научных исследований и других. Реализация этих соглашений осуществляется на основе заключения международных коммерческих сделок. Поэтому область производственного и научнотехнического сотрудничества входит в сферу международной торговли. Из анализа совместной деятельности с зарубежными представителями, очевидно то, что любые соглашения между двумя фирмами (компаниями) заключаются при непосредственном контакте, т. е. на официальных встречах, переговорах. Любая договоренность о сотрудничестве оформляется соответствующими договорами. Хотя одним из наиболее важных условий, используемых в международной практике, при заключении подобного рода договоров является условие об обеспечении защищенности информации в отношении предмета договора, без включения такого условия нельзя сохранить существенный элемент сделки — конфиденциальность. Такое условие должно включать в себя следующее: 1) взаимное обязательство сторон принимать все необходимые меры для предотвращения разглашения коммерческой тайны с перечислением основных мер; 2) документы или изделия, указанные в договоре, будут рассматриваться сторонами как строго конфиденциальные; 3) стороны берут на себя обязательства принимать все необходимые меры для предотвращения нарушений правил пользования этими документами или изделиями, установленных в соответствующих 272 статьях договора;
Конфиденциальность
яри
работе
с
зарубежными
вартнерами
4) стороны обязуются не передавать без предварительного согласия другой стороны оригиналы документов или изделий, их копии или репродукции любого рода третьим сторонам; 5) стороны обязуются обеспечить ознакомление с информацией, составляющей коммерческую тайну предмета договора, только лишь строго ограниченного числа своих работников, с которых должны быть взяты подписки о неразглашении информации, составляющей коммерческую тайну, содержащейся в предмете договора или являющейся предметом договора. Нарушение такого рода требований договоров может привести к его аннулированию и привлечению виновников к ответственности в соответствие с действующим законодательством.
7.1.4. Научно-техническая документация - источник конфиденциальной информации В состав научно-технической документации входят: • научно-исследовательская (научная), конструкторская, технологическая, проектная и другая производственная документация; • кино-фотодокументы, документы на машиночитаемых носителях: —документы по изобретениям и открытиям; — геолого-геодезические, метеорологические, экологические и другие документы. Научно-технические документы в зависимости от способа их выполнения и характера использования подразделяются на оригиналы, подлинники, дубликаты, копии и эскизы.
Виды научно-технических документов 1. Научно-исследовательская (научная) документация: • итоговые и этапные отчеты о НИР и ОКР; • технические отчеты; • заключения, отзывы и рецензии; • аннотации, паспорта, регламенты;
Глава 7 монографии, диссертации и отзывы на них; рукописи неопубликованных научных работ;, рекомендации различного характера; технические задания на НИР, ОКР; программы НИР; технико-экономические обоснования, обзоры, доклады; • первичная документация в процессе НИР, ОКР, ОТР и ЭПР (ОТР — опытно-технологическая, ЭПР — экспертно-проектная): журналы записей, экспериментов, различных анализов; дневники; кино-фотодокументы; документы на машинных носителях. 2. Конструкторская документация (КД) — это совокупность графических и текстовых конструкторских документов, которые самостоятельно или в совокупности определяют состав и устройство изделия и содержат необходимые данные для его разработки или изготовления, контроля, приемы эксплуатации и ремонта. Включает: • технические предложения; • эскизные проекты; • технические проекты; • рабочую конструкторскую документацию. 3. Технологическая документация (ТД) — это совокупность графических и текстовых технологических документов, которые самостоятельно или в совокупности определяют технологический процесс изготовления изделий промышленного производства или процесс сооружения объектов капитального строительства. 4. Проектная документация (ПД) — это совокупность технических документов, фиксирующих процесс и результаты проектирования. 5. Документы автоматизированных систем обработки данных и автоматизированных систем проектирования.
На каждом этапе экспертизы ценности НТД применяется в комплексе система общих и специфических критериев.
Конфиденциальность при работе с зарубежными партнерами К общим относятся критерии: • происхождение: организация, роль и место организации в системе организаций страны или в конкретной отрасли; значимость выполняемых ею функций; время и место создания; авторство документов. • содержание: значимость проблемы и объекта, отраженного в документах; значение содержащейся в документах информации, ее повторение в других документах; целевое назначение, вид и разновидность документа. • внешние особенности: юридическая содержательность документа — наличие подписей, дат, печатей; наличие резолюций, помет; особенности передачи документа, текста, подлинность; особенности материальной основы документа; особенности физического состояния, полноты, сохранности документа. К специфическим относятся критерии: • принципиальная новизна, уникальность, оригинальность решения проблемы, конструкции, технологии, проекта; • степень отражения уровня науки и техники, производства на данном этапе развития общества; • значимость проблемы, проекта, модели, конструкции, технологии на момент внедрения для развития конкретных отраслей производственной и хозяйственной деятельности; • экономическая эффективность внедрения результатов исследования или технической идеи; • социальная эффективность исследования или разработки.
7.1.5. Возможные условия разглашения сведений, составляющих коммерческую тайну По мере развития рыночных отношений и расширения внешнеэкономических связей российских фирм у иностранных партнеров и конкурентов все чаще появляются устремления к сведениям о планах фирмы, ее финансовом положении, методах управления, рыночной стратегии. Возникновение конкуренции также порождает между ними подобные устремления.
Глава 7 Построение системы защиты коммерческой тайны фирмы более чем необходимо при регулярном сотрудничестве с иностранными представителями. Построение такой защиты целесообразно начать с определения открытых источников и соответствующих им возможных официальных каналов распространения конфиденциальной информации. С учетом специфики научно-технической и коммерческой деятельности, степенью развития связей с деловыми партнерами хотелось бы выделить перечень официальных каналов передачи информации при таком взаимодействии: • выступления сотрудников фирмы с докладами и в дискуссиях на международных конференциях и симпозиумах, проводимых в России и за рубежом; • передача информации в процессе общения с иностранными журналистами; • демонстрация научно-технических фильмов; • демонстрация действующих объектов научно-технических достижений (оборудования, изделий, технологии) ; • демонстрация научно-технических достижений на выставках, проводимых в России и за рубежом; • все виды рекламы экспортной продукции в форме печатных изданий — брошюр, стендовой литературы для выставок и ярмарок; • обмен с зарубежными научными учреждениями, предприятиями и фирмами отчетами о НИОКР в соответствии с соглашениями о научно-техническом сотрудничестве или о совместном выполнении исследования и разработок; • публикация научных, технических и других материалов в зарубежных и международных изданиях; • передача информации при переписке с зарубежными научными учреждениями и специалистами; • передача сведений представителям иностранных фирм в процессе переговоров или при заключении экспертных или импортных соглашений; • прием иностранных специалистов на территории фирмы; • проведение совместных разработок (проектов, экспериментов) в рамках осуществления научнотехнических связей.
Конфиденциальность при работе с зарубежными партнерами Каждый из вышеуказанных каналов характеризуется весьма значительными объемами передачи информации зарубежными партнерами. Анализ, поступающих по открытым каналам сведений позволяет иностранным экспертам получать сообщения о деятельности фирмы, ее достижениях и другую ценную информацию. Для сбора интересующей информации зарубежные фирмы активно используют различные приемы добывания информации особенно на международных выставках. Путем опроса и анкетированная российских специалистов получают подробную информацию об их месте работы, тематике проводимых ими исследований и разработок. Основным «производителем» и «держателем» информации является человек. Это первичный канал как возникновения, так и утраты любого объекта интеллектуальной собственности. Исходя из этого основное внимание должно быть уделено сотрудникам фирмы, начиная от момента их поступления на работу. Миграция специалистов, особенно имевших дело с конфиденциальной информацией, — самый основной и трудно контролируемый канал утечки информации. Так, получившая у нас в последнее время широкое распространение практика разного рода совместительства сотрудников, прежде всего научно-исследовательских организаций, где они используют свои профессиональные знания, опыт и навыки, приобретенные по основному месту работы, т. е. фактически интеллектуальный продукт организации, только должным образом не оформленный в ее собственность, является одним из наиболее вероятным каналом утечки информации. По опыту зарубежных стран и после увольнения сотрудника (по крайней мере, в течение года) внимание к его дальнейшей деятельности не должно ослабевать. Особыми каналами утраты интеллектуальной собственности или, по крайней мере, ее коммерческой ценности являются совместные работы с другими фирмами, контакты с клиентами и инвесторами, где особое место занимают переговоры. (Так, например, в целях сбора интересующей их информации
7 инофирмы нередко идут на создание совместных предприятий.) Не следует упускать из виду также технические средства недобросовестной конкуренции (промышленного шпионажа), которые все чаще проникают и на наш внутренний рынок. Тем более, что многие производственные процессы сопровождаются явлениями, имеющими физическую, химическую, биологическую и иную природу, в результате которых переносится та или другая информация. Анализ и обобщение возможных путей утраты интеллектуальной собственности (следовательно, и мероприятий по их перекрытию) должны вестись по следующим основным направлениям: 1. Люди. 2. Документы. 3. Изделия — процессы. Учитывая большое количество и разнообразие конкретных каналов утечки информации, наиболее целесообразным является построение работы именно исходя из перечисленных направлений. Разработку мероприятий по сохранению коммерческой тайны предприятия следует осуществлять, соблюдая принцип комплексного перекрытия возможных каналов утечки информации и обеспечения равнозначной надежности защиты всех ее носителей. Защита от утечки конфиденциальной информации полностью ложится на саму фирму. Необходимо самим постоянно проявлять заботу о защите собственных передовых технологий, новых научных идей и результатов перспективных разработок. Целесообразно задерживать публикации о полученных научных результатах, выхолащивать из них сведения, представляющие интерес для научной общественности, ограничивать доступ к ней широкого круга лиц. В процессе проведения совместных встреч, где обстановка общения, характеризующаяся сравнительно большим количеством участников, присутствием посторонних лиц, необходимостью придать огласке конфиденциальную информацию, сложнос278 тью контроля за поведением участников и т. п.,
Конфиденциальность ври работе с зардбежными партнерами объективно создают условия повышенной уязвимости информации. Следовательно, все это ставит организацию перед необходимостью принятия мер по защите собственных информационных ресурсов, в процессе реализации которых решаются задачи в совокупности по следующим направлениям: • отбор и группировка информации, подлежащей оглашению; • разработка и реализация правил проведения совещаний и переговоров, приема посетителей; • организация работы с персоналом, т. е. лицами, которым поручена организация и проведение совещаний и переговоров, ответственными за прием посетителей; • проведение мероприятий по обеспечению требований, предъявляемых к помещениям, где проводятся совещания и переговоры; их охрана.
7.1.8. Эксперта ценности передаваемой научно-технической документации Экспертизе подвергаются: на стадии «эскизный проект» — ведомости эскизного проекта и пояснительные записки; на стадии «технический проект» — чертежи общих видов изделий; ведомости технического проекта; пояснительные записки; патентный формуляр; карты технического уровня и качества продукции; технико-экономические показатели; на стадии «рабочая документация» — сборные чертежи изделия; габаритные и монтажные чертежи, схемы, технические условия, расчеты экономической эффективности изделия, спецификации, акты (государственных, отраслевых, фирменных) испытаний и приемки изделия, групповые конструкторские чертежи; кино-фотодокументы, отражающие процесс обработки, изготовления и испытания изделия; спецификации по видам обеспечения; инструкции по ведению массивов данных в АСОД и САПР; каталоги баз данных, тексты программ, описания языков; положения о службе САПР и другие.
278
Глава 7 Экспертизе подвергаются: • технологические документы, отражающие новые технологические процессы, методы организации производства и труда, экономии материалов; • чертежи универсального технологического оснащения для механической обработки деталей, сборки изделий, которые могут применяться для нескольких изделий, цехов, предприятий; • документация по технологической оснастке, отличающаяся новизной и совершенством конструкции; • технические документы на приспособления для совершенствования технологических процессов. Особое внимание уделяется экспертизе таких документов как: • маршрутные карты, технологические инструкции, правила, рецептура, описания, диаграммы, характеристики, схемы, режимы производства, ведомости технологической оснастки, карты основных и типовых технологических процессов, карты уровня аттестуемой продукции, регламенты; • технические условия на изготовление изделий основного производства, альбомы технологических процессов, чертежей измерительных и контрольных приборов и инструментов; • технико-экономические показатели, нормы расходов материалов, технологические паспорта, спецификация основного технологического оборудования.
Экспертизе подвергаются: задания на проектирование продукции, проекты размещения строительства, проекты планировки, отчеты об изысканиях, генеральный план, ситуационный план, общая (сводная) пояснительная записка, схемы и описания технологических процессов и оборудования, основные чертежи архитектурно-строительной части, чертежи цехов, фотографии общего вида зданий, корпусов и цехов,
Конфиденциальность при работе с зарубежными партнерами чертежи уникального характера; планы расположения зданий, транспортных путей, подземных сетей и ограждений; планы размещения оборудования, генеральные сметы к проектам реконструкции, сметно-финансовые расчеты.
• 7.2. Организация работы с зарубежными партнерами 7.2.1. Оценка потенциальных партнеров Важную роль для предприятия играет выбор партнеров по совместной деятельности, так как от сделанного выбора во многом зависит успех задуманного предприятия или сделки. При выборе партнера для совместной деятельности приходится сталкиваться с тем, что в России до сих пор не существует стройной информационной системы для получения сведений об организациях и фирмах-участниках рынка, поэтому российским предприятиям пока приходится полагаться на удачу и на свои силы. Успешный выбор надежного партнера можно осуществить только освоив и адаптировав для наших условий систему поиска партнеров, действующую на Западе, где, чтобы свести к минимуму коммерческие риски, выработана система банковских гарантий, страхования контрактов и другие механизмы, незнание или неприменение которых приводит к значительным убыткам. Деловые качества возможной фирмы-партнера должны оцениваться с правовой, коммерческой, финансовой и технической точек зрения. Для получения этих данных следует пользоваться следующими документами: 1. Нотариально заверенными копиями учредительных документов: договора и уставы, которые дадут сведения о правовом статусе фирмы, размере капитала и профиле ее деятельности. 2. Проспектами и каталогами, публикуемыми самой фирмой, в которых также содержатся основные данные о ней, а так же о наличии отделений и филиалов, сбытовой сети и клиентуре.
___
Глава 7
3. Балансами доходов, расходов и отчетов (тоже публикуемыми фирмой), которые дадут представление о состоянии кредиторской и дебиторской задолженности, объемах распродаж, акционерном капитале и акционерах, размере начисленных дивидендов. 4. Справочниками различных видов. Технические и коммерческие справочники, содержащие общие сведения о производственной и коммерческой деятельности фирмы, ее отделений и филиалов в России и за рубежом с указанием адресов и телефонов. Справочники бывают как общего характера, так и по отраслям производства, по акционерным обществам, а также международные и национальные. Для изучения связей между фирмами очень важна информация, содержащаяся в справочниках руководящего состава фирм. В них присутствуют списки директоров и занимаемых ими в различных обществах постов. А в специальных справочниках публикуются биографии людей делового мира. Всю информацию по нужным справочникам можно получить в торговых палатах соответствующих стран. • Во избежание всякого рада конфликтов исключительно важное значение могут иметь личные качества будущего партнера. Конфиденциальную информацию о личности интересующего вас бизнесмена можно получить, обратившись в кредитные конторы или бюро, которую те, в свою очередь, добывают через сеть своих агентов. Пользуясь ими, следует иметь в виду, что за достоверность информации конторы и бюро никакой ответственности не несут. О платежеспособности фирмы более надежны данные коммерческих банков, так как им известно финансовое положение фирм в течение длительного времени. Они в состоянии даже предвидеть рост их доходов или банкротство, потому что изучают и знают все стороны коммерческой деятельности своих клиентов. Важные сведения о фирме можно почерпнуть из публикаций в прессе: данные местных торговых палат, различных ассоциаций или иных объединений промышленников, следящих за коммерческим престижем и деловой репутацией своих членов, мнения кон282 курентов. Немало информации можно почерпнуть из
Конфиденциальность при работе с зарубежными партнерами газеты «Коммерсант», в которой регулярно печатаются данные об учредителях, их адреса и телефоны. В официальных публикациях содержатся решения о примененных санкциях к фирмам, нарушившим экспортные или импортные запреты. Например, в США сведения о лишении экспортеров экспортных привилегий на определенный срок и иных санкциях за нарушение экспортного контроля публикуются в «Федеральном реестре». Такие сведения характеризуют фирму, попавшую в «черный список» с негативной стороны. Кроме всего сказанного, хорошо бы еще выяснить, не допускала ли интересующая вас фирма каких-либо акций, направленных на дискредитацию будущих партнеров, взаимоотношения ее с конкурентами на внутреннем и внешних рынках. Сведения о фирме можно получить и в государственных или иных организациях, содействующих внешнеэкономическим связям: торговых палатах, министерствах торговли, в консульских учреждениях, различных национальных государственных ведомствах и центрах, ведающих вопросами внешней торговли, а также в различных частных федерациях, ассоциациях торговых и промышленных фирм, институтах, информационных центрах и выставках. В таких отчетах обычно содержится полное название фирмы, дата и номер регистрации, начальный капитал, состав правления и акционеров, представительские полномочия, сфера деятельности, номенклатура экспорта и импорта, численность персонала. В финансовых разделах приводится динамика оборота, движение средств по счетам, называются банки, чьими клиентами является фирма. Кратко характеризуется выполнение платежных обязательств. Пользуясь этими источниками информации, надо учитывать, что сведения, получаемые из фирменных справочников, проспектов, каталогов и рекламы, а также кредитных и справочных бюро не являются вполне объективными, поскольку их материалы основываются на данных самих фирм и характеризуют их только в положительном свете. Поэтому мнение об интересующей фирме можно составить только после изучения всех названных источников инфор- 283
____
Глава 7
мации. При этом надо учитывать, что информация о фирме, основанная на личных контактах, может оказаться более надежной, чем красочные и внешне эффектные проспекты и каталоги. Для сбора и накопления информации о фирмах, с которыми планируется сотрудничество и уже ведется работа, хотелось бы предложить вариант Информационной накопительной карты, в которую постоянно заносятся данные о фирмах «конкурентах». Таким образом, своя накопительная информация, должна сыграть положительную роль при выборе партнера и при дальнейшем взаимодействии с ним. При выборе зарубежных партнеров необходимо учесть следующие моменты: При заключении внешнеторговой сделки необходимо отдавать предпочтение тем фирмам, которые предложат лучшие условия (по качеству, срокам, кредитам, ценам), касается ли она экспорта или импорта, является ли компенсационной или бартерной, идет ли речь о разовой сделке (мелкой или крупной) или о долгосрочных отношениях, осуществляется ли купляпродажа товара, лизинг. Но если речь идет о сотрудничестве на долгосрочной основе, подход должен быть иным. С особой тщательностью нужно проверять надежность зарубежного партнера. Желательно, чтобы партнером была крупнегфирма, зарекомендовавшая себя на мировом рынке со всех сторон. Подобные сведения о фирмах должны быть всегда под рукой. В этой связи необходимо иметь свою базу данных различных зарубежных представительств.
7.2.2. Прием иностранных представителей и проведение коммерческих переговоров Деловые совещания и переговоры являются разновидностями делового общения, формами обмена информацией в деловой сфере. С расширением круга предпринимателей России, активно действующих на внешних рынках, существенно возрастает роль переговоров с иностран. . . ными партнерами. Многие вопросы требуют прямоГО обсуждения: условия сделок, порядок поставки
Конфиденциальность при работе с зарубежными партнерами товаров, транспортировки грузов, проблемы страхования и т. д. Не секрет, что успех переговоров зависит от прочности позиций участников, конъюнктуры рынка, конкретных интересов партнеров. При этом немаловажную роль играют и такие факторы, как умение вести торг, психологические особенности партнеров и другие слагаемые, в совокупности образующие «искусство переговоров». Овладение им требует определенных навыков, соблюдения общепризнанных норм.
Планирование переговоров позволяет найти и устранить возможные подводные камни, заранее предусмотреть, какие неожиданные проблемы могут возникнуть в ходе переговоров, своевременно продумать необходимые действия и мероприятия, а также вовлечь в подготовку к переговорам нужных работников. Важно продумать использование вспомогательных средств — диаграмм, таблиц, слайдов, видеофильмов и т. п. Обычно переговоры состоят из следующих этапов: • начало беседы; • передача информации; • выдвижение аргументов; • комментарии (в случае необходимости — опровержения) к доводам партнера по переговорам; • согласование взаимоприемлемых решений; • подведение итогов переговоров и принятие решений. Данная последовательность может быть изменена в зависимости от обстоятельств. Наиболее важен завершающий этап. На характер переговоров влияет следующее: • профессиональный опыт и знания; • ясность, четкость, доступность, наглядность изложения; • постоянная нацеленность на достижение нужных результатов; • умение варьировать интенсивностью переговоров; • необходимость соблюдать разумные пределы при передаче информации;
Глава 7 • способность поддержать доверительность в переговорах; • умение варьировать выдвигаемые аргументы; • умение использовать различные эмоционально выразительные средства, усиливающие воздействие на собеседника. В начале беседы важно создать непринужденную атмосферу, интерес к обсуждаемому вопросу. Психологически основная задача первых моментов переговоров — попытаться воздействовать на партнера таким образом, чтобы снять у него напряженность. Первые две-три фразы должны создать у партнера положительную расположенность. Исключить попытки загнать партнера в угол, принудить его к оборонительной позиции. Нельзя не считаться с возрастом собеседника, его национальными особенностями, личными пристрастиями (если что-либо о них известно). Вполне уместны комплимент, несколько теплых слов, шутка, дружеская тональность в разговоре. После этого можно перейти к изложению сути дела. Необходимо избегать таких оборотов, как «Я бы предложил»; «Я бы хотел» и т. д. Лучше употреблять фразы типа: «Как Вы относитесь к такому предложению, как...»; «Вы, вероятно, заинтересуетесь, узнав, что...» и т. п. Дать почувствовать партнеру, что его ценят как личность, профессионала, специалиста.
Существуют различные классификации видов переговоров. Наиболее традиционная — по их содержанию и целям. 1. Переговоры по установлению новых отношений и обязательств между партнерами. 2. Переговоры по развитию ранее достигнутых договоренностей. 3. Переговоры с целью урегулирования конфликтной ситуации. 4. Переговоры по изменению сложившихся дого286 воренностей в свою пользу.
Конфиденциальность при работе с зарубежными партнерами 5. Переговоры по достижению определенных побочных результатов, нашедших отражение в ранее принятых договоренностях. В зависимости от ситуаций, в каких они проводятся, различают переговоры по урегулированию кризисных или конфликтных ситуаций и переговоры, ведущиеся в рамках нормального делового сотрудничества. В первом случае к переговорам нередко привлекаются посредники, возникает необходимость неофициальных контактов. Переговоры могут быть двусторонними и многосторонними, что обусловливает определенный характер их ведения.
Как правило, задолго до того как партнеры сядут за стол и начнут непосредственно обсуждать вопросы, составляется план ведения переговоров. Примерная схема подготовки такова: • анализ сложившейся ситуации участников, повестки дня; • инициатива проведения переговоров и определение предстоящих к обсуждению задач; • выработка стратегии и тактики переговоров; • разработка подробного плана подготовки к переговорам; • сбор информации и материалов; классификация информации в зависимости от целей каждого этапа переговоров; • систематизация и отбор информации; • составление рабочего плана переговоров; • проведение подготовительных рабочих совещаний участников предстоящих переговоров; • разработка концепции переговоров, ее письменное изложение. Готовясь к переговорам, необходимо обдумать собственные цели, определить темы, которые могут быть затронуты в их процессе, наметить возможных участников. Инициатива в переговорах зависит от интуиции, активности и возможности своевременно провести 287
I
_,
Глава 7
предварительный анализ. Это позволяет контролировать ситуацию. Ни в коем случае нельзя терять инициативу как на этапе подготовки переговоров, так и в ходе их проведения. Подробный план переговоров предусматривает четкую программу действий: устанавливаются объем и виды потребной информации, определяются примерные затраты на подготовку, выделяются соответствующие работники, перед ними ставятся конкретные цели. Наиболее сложным и трудоемким процессом является сбор информации. Например, готовясь к первой встрече с представителем иностранной фирмы, необходимо как можно больше узнать о ее достижениях, «теневых» местах. В случае недостатка информации можно обратиться к соответствующим консультационным фирмам как в России, так и за рубежом. В необходимых случаях — в Министерство внешних экономических связей. Объем потребной информации зависит от общей эрудиции, уровня профессиональных знаний и личной мотивации сотрудников фирмы, которым предстоит вести переговоры. Продолжением работы с информацией является ее сбор и систематизация. Необходимо освободиться от второстепенных сведений, сгруппировать полученные данные соответственно задачам переговоров. Важно определить характер и объем информации, которую необходимо передать партнеру по переговорам, предварительно взвесив, как эта информация будет им интерпретирована. При переговорах одним из основных являются ценовые вопросы. Заблаговременно информационный отдел должен собрать всю доступную информацию по ценам мирового рынка. Если в переговорах затрагивается возможность экспорта продукции, необходимо сосредоточить сведения, выгодно раскрывающие преимущества выпускаемого товара (технические характеристики, потребительские свойства и т. д.). К этому моменту желательно иметь условия конкурсов, сведения о которых всегда должны быть под рукой. Интересующая информация должна быть оценена с точки зрения достоверности и надежности ее источников.
Конфиденциальность при работе с зарубежными партнерами В переговорах по импорту также требуется знание цен, условий поставки, состояния конъюнктуры рынка и сложившихся традиций. Вступая в переговоры с фирмой, нужно располагать максимумом данных о ней, степени ее надежности. Досье о партнере включает характер деятельности фирмы, ее юридическую форму и форму собственности, виды производимой продукции (профиль товаров, торговые операции), финансовое состояние фирмы, ее ценовую и финансовую политику, заинтересованность в деловых контактах. Необходимо знать связи фирмы с конкурентами и условия, на которых она ведет сделки с ними, навести справки об основных финансовоэкономических показателях (размеры акционерного и собственного капитала, оборот, активы, прибыль, число собственных сотрудников), руководящем соста'ве фирмы. Информационный отдел должен отследить статьи о партнере в газетах и журналах, иметь отзывы коллег. Разрабатывая сценарий переговоров, необходимо попытаться увязать уже имеющуюся информацию с собственными представлениями в единое целое. Целесообразно продумать психологические аспекты предстоящих переговоров, их начало и завершение, как бы мысленно прорепетировать свои соображения, которые можно высказать партнеру, чтобы добиться желаемого результата. При планировании переговоров следует учитывать возможность появления непредвиденных обстоятельств и отрабатывать навыки гибкой реакции на неожиданные повороты, которые могут возникнуть по инициативе партнера. Планирование переговоров включает следующие моменты: • разработка прогноза переговоров; • определение установок на переговоры, выделение основных задач; • поиск оптимальных средств решения стратегических задач переговоров; разработка «дерева целей» — как долгосрочных, так и краткосрочных — на весь процесс переговоров, определение их взаимосвязи и последовательности реализации; 289 10 Безопасность
Глава 7 выработка средств реализации этих целей, своевременная подготовка к преодолению трудностей, возникающих в процессе подготовки к переговорам.
В соответствии с правилами приема делегаций, ответственные лица доставляют гостей за 5 — 7 минут до планируемого начала переговоров. Это позволяет членам делегации освоиться с обстановкой, приготовиться к встрече. Если переговоры ведутся не первым лицом фирмы, целесообразно отвести время на короткую встречу первого лица и делегации для обмена приветствиями. Для ведения записей и обобщения результатов переговоров заранее выделяется соответствующий сотрудник. Если в них участвует переводчик, то необходимо создать ему благоприятные условия. Как правило, переговоры ведут руководители делегаций. Нельзя перебивать их выступления, вносить уточнения, устраивать перекрестные мини-переговоры параллельно с выступлениями руководителей делегаций. Это нетактично и сильно мешает нормальному процессу переговоров. До начала переговоров необходимо проинформировать членов своей делегации о фирме, с которой будут вестись переговоры. Информация формируется из различных источников — справочников, заказных работ специальных консультативных фирм (российских и зарубежных), запросов в российские коммерческие представительства. На первой встрече прежде всего следует познакомить иностранную делегацию с участниками переговоров со своей стороны, обменяться визитными карточками. Кроме этого, обычно имеет место обмен общими фразами, а затем знакомство гостей с программой их пребывания в России ее уточнения, если будут замечания со стороны иностранных представителей. Если встреча с представителями данной фирмы осуществляется впервые, целесообразно ознакомить 290 гостей с характером деятельности своей организации,
Конфиденциальность при работе с зарубежными партнерами особенностями выпускаемой продукции, объемом производства и т. д., после чего попросить своего партнера рассказать о его организации. Фирме имеющей производственный характер, целесообразно включить в программу пребывания делегации ознакомление со своей деятельностью. Необходимо подготовить персонал к такому визиту, заранее определить объем передаваемой информации.
Информационный отдел фирмы на основе аналитических исследований предварительно выявляет, какая информация в первую очередь интересует зарубежного предпринимателя: 1. Размер рынка. 2. Динамика изменения рынка. 3. Издержки по ведению дела. 4. Степень риска. Основная часть интересующей иностранного предпринимателя информации, особенно касающейся размеров и динамики рынка, может быть им получена из открытых источников, статистических отчетов, средств массовой информации и т. д. Что же касается оценок издержек производства, конкурентных преимуществ и степени риска, то они не могут быть произведены с приемлемой достоверностью без информации, характеризующей вполне определенного потенциального партнера, т. е. какую-то конкретную фирму. К такой информации в соответствии со сложившейся практикой можно отнести данные по следующим вопросам: • предполагаемая экономия за счет дешевизны рабочей силы; • величина транспортных расходов; • потребности в сырье, материалах, комплектующих изделиях и обеспечение ими; • состояние и стоимость основных и оборотных фондов; • производственные мощности; • организация производства; • финансовое положение и т. д. 291 10*
7 В последнее время отличается рост ценности информации о российских предприятиях и спрос на нее. Этот спрос неизбежно порождает соответствующее предложение. Причина появления этого предложения заключается в том, что иностранные фирмы не имеют, как правило, достаточной информации о российских предприятиях и фирмах, и их информационные запросы стимулируют появление различных посреднических организаций, специализирующихся на информационном обеспечении как российской, так и зарубежной клиентуры. Однако это не исключает возможность обращения некоторых инофирм к российским предприятиям напрямую. Поэтому, прежде чем давать о своей фирме хоть какую-нибудь информацию, необходимо убедиться в том, что представители иностранной компании пришли на переговоры не только с целью получения сведений о деятельности российской фирмы. Сведения о российских и зарубежных фирмах можно получить в таких посреднических организациях, как: Российско-американский университет «Россия—США—бизнес — партнеры», центр научно-технического творчества «Акцепт», фирма «Cler» и другие. Занимаются такой же деятельностью некоторые российские предприятия: Министерство гражданской авиации, ленинградское ПО «Авангард» и т. д. Эти организации рассылают потенциальным клиентам анкеты, предложения, документы. В этой практике нет ничего необычного, в международной предпринимательской деятельности такие способы получения необходимой информации имеют самое широкое распространение. В обобщенном виде содержимое запрашиваемых сведений сводится, главным образом, к следующему: 1. Полное наименование предприятия, его место в структуре отрасли, почтовые реквизиты. 2. Данные о руководящем составе: фамилии, имена, отчества, номера служебных телефонов. 3. Профильные виды продукции, ее характеристики, сведения о направлениях научно-исследовательской деятельности. 4. Стоимость основных и оборотных фондов. 5. Финансовое положение. 6. Планируемая к освоению продукция:
Конфиденциальность при работе с зарубежными партнерами • физические и стоимостные объемы; • то же, но с разбивкой для внутреннего рынка и экспорта. 7. Численность персонала и фонд заработной платы. 8. Потребности в сырье, материалах, комплектующих узлами деталях, источники удовлетворения этих потребностей. 9. Транспортные й энергетические потребности. В конечном счете, в результате исследовательской деятельности у получателя информации могут накапливаться обширные материалы для сопоставления, обобщения и анализа. Следовательно, перед обладателем таких данных раскрываются возможности получения оценок по интересующим его направлениям деятельности предприятия (фирмы) или повысить точность и достоверность уже имеющихся у него сведений, а при благоприятных условиях — распространить полученные на основе этих сведений выводы на отрасль в целом. При изучении иностранных источников и зарубежного опыта предпринимательской деятельности обращает на себя внимание тот факт, что на вопросы, подобные вопросам 5, б, 7, 8, зарубежные фирмы, как правило, ответов не дают, т. к. указанные сведения составляют коммерческую тайну. В то же время наша хозяйственная практика знает примеры противоположного толка, когда предприятия (фирмы) легко расстаются со своими коммерческими секретами, никак не учитывая возможные экономические последствия этого.
Особое место среди сведений, являющихся конфиденциальными, занимают «ноу-хау», под которым понимаются конструктивные и технологические секреты, имеющие промышленную и коммерческую ценность и не защищенные патентным, международным и национальным законодательством. При консультациях и ознакомлении с техникой и технологией зарубежные фирмы выработали способы ведения переговоров без раскрытия «ноу-хау». Один из принципов защиты «ноу-хау» состоит в том, что любая информация о научно-технических дости-
Глава 7 жениях, будь то устная или печатная, должна носить сугубо рекламный характер. Если на переговорах потенциальный клиент настаивает на получении дополнительной информации о «ноу-хау», аргументируя это тем, что ему надо знать, за что он будет платить деньги, то используется специальная техника продажи «ноухау». Здесь необходимо обратить внимание на слова «потенциальный клиент», т. е. к этому времени необходимо иметь информацию об организации, с которой ведутся переговоры и лице, ее представляющем, что это — действительно потенциальный клиент. Далее стороны заключают предварительное опционное соглашение, по которому потенциальный продавец обязан ознакомить потенциального покупателя с «ноу-хау», а последний, ознакомившись с ним, обязуется подписать лицензионное соглашение. В противном случае на основании опционного договора он не имеет права промышленно использовать «ноу-хау» и разглашать его, он теряет и определенную сумму денег, внесенную в депозит на счет продавца за ознакомление. Таким образом, вводится договорная охрана «ноу-хау».
1. При попытках сторонних организаций установить с предприятием контакт следует прежде всего выяснить, в чем состоят их намерения, если это не вытекает из самого обращения к фирме. Кроме того, необходимо, используя имеющиеся возможности, навести справки об иностранной фирме, которая обратилась с запросом. Во многих случаях такая осведомленность о ней поможет избежать ошибок. Рекомендации по наведению таких справок описаны выше. 2. В случае, если обратившаяся иностранная компания заслуживает доверия, ее намерения соответствуют интересам фирмы и предполагается развивать намечающееся сотрудничество, необходимо выработать политику ведения переговоров. Не следует сразу же передавать все запрашиваемые сведения в полном объеме. Прежде всего необходимо убедиться в том, что запрашиваемые сведе-
Конфиденциальность при работе с зарубежными партнерами ния соответствуют намерениям зарубежного потенциального партнера и действительно требуются ему для дальнейшего сотрудничества с фирмой. Особое внимание следует обратить на то, чтобы те сведения, которые решили представить зарубежной фирме, не раскрывали своих коммерческих секретов. 3. На стадии переговоров, когда суть взаимных намерений уже ясна, но юридически они еще не оформлены, было бы оптимальным ведение переговоров таким образом, чтобы ответы на вопросы зарубежного партнера носили индикативный характер, типа «да— нет», «можем— не можем» и т. п. 4. После юридического оформления взаимных намерений можно оперировать более широкими данными об основных фондах, потребностях и другими сведениями, необходимыми для сотрудничества. При этом в рамках документа о намерениях или отдельным документом должны быть зафиксированы взаимные обязательства о неразглашении тех сведений, которые стороны определят как конфиденциальные . 5. Потенциальному партнеру следует раскрывать только те данные, которые относятся к сфере совместной деятельности.
В данном случае под информацией подразумеваются сведения, соответствующие лучшему восприятию партнером точки зрения и помогающие уяснить его позицию. При передаче информации следует внимательно следить за реакцией партнера. Этот процесс следует направлять таким образом, чтобы захватить инициативу в переговорах, побудить партнера сообщить нужную информацию, избегая при этом прямых вопросов. Необходимо так задавать вопросы, чтобы на них нельзя было бы ответить только «да» или «нет», дабы не вызвать напряженности в беседе. Обычно такого рода вопросы задаются в тех случаях, когда необходи-
I
Глава 7 мо получить согласие собеседника или подтверждение ранее имевшейся договоренности. Это предполагает осведомленность обоих партнеров по конкретному вопросу. Следует избегать опасности создания ситуации, когда у партнера может сложиться впечатление, будто ведется его допрос. Другая категория вопросов — это так называемые открытые вопросы, требующие развернутого объяснения, например: «Как Вы относитесь к...»; «Каково Ваше мнение по вопросу о...»; «Почему Вы считаете, что ...» и т. п. Они подразумевают последующий диалог на основе разъяснения точки зрения партнера, аргументированного изложения его позиции. В категорию открытых вопросов включаются «переломные», позволяющие получить информацию по наиболее уязвимым проблемам. Они задаются в тех случаях, когда уже имеется достаточно информации по данной проблеме и уже можно перейти к другой теме. В тех случаях, когда необходимо добиться от партнера четких акцентов по той или иной проблеме, лучше задавать вопросы типа: «Правильно ли я понял, что ...»; «Считаете ли Вы, что...». Ответы на подобные вопросы создают благоприятную атмосферу для выработки единой точки зрения на обсуждаемый вопрос, а также для внесения поправок в позицию партнера. В процессе обмена информацией облегчается переход к этапу аргументации, когда партнер более откровенно излагает собственную позицию, при этом может непроизвольно обнаружить свои слабые стороны. С другой стороны, на этапе аргументации у партнера создается заинтересованность в поддержании переговоров. Для успешного ведения переговоров важно умение внимательно слушать и правильно оценивать сказанное. В этом случае можно самому себе задать следующие вопросы: • действительно ли я слушаю партнера или просто жду своей очереди высказаться? • часто ли я отвлекаюсь?
Конфиденциальность при работе с зарубежными партнерами • • • •
эмоционально ли реагирую на сказанное? часто ли перебиваю собеседника? не делаю ли поспешных выводов из сказанного? может быть, я не слушаю партнера, а просто обдумываю свой ответ? Не следует забывать, что человек несведущий, мало знающий обычно многословен. И напротив, немногословный собеседник доказательнее обосновывает свою позицию. Зная это, нужно постараться избегать ненужной полемики, иначе может возникнуть угроза непреодолимой конфликтной ситуации. Очень часто переговоры проигрывает тот, кто не умеет слушать другую сторону. Вот некоторые условия, которые следует соблюдать: • не отвлекаться на собственные мысли, сосредоточится на теме беседы; • слушая собеседника, не использовать это время на подготовку собственных контраргументов. При передаче партнеру информации: • избегать начинать предложения с местоимения «я»; • быть внимательным к собеседнику, когда он чтото говорит или спрашивает; • следить за реакцией партнера, проявлением его эмоций; • чаще обращаться к собеседнику по имени; • следить за собственной речью, избегать неточностей, неясностей, при необходимости повторять особо важные положения; • избегать монологов, стремиться к диалогу; • не прерывать партнера; • всем своим видом проявлять заинтересованность к тому, о чем говорит партнер; • добиваться от партнера заинтересованности в получении информации; • не употреблять двусмысленных выражений. Переговоры — это поиск компромисса. Искусство достижения без излишней жесткости и неуступчивости. Вступая в переговоры, нужно видеть в партнере не противника, с которым будет жестокая схватка, а по- 237
|
Глава 7
тенциального друга на долгое время. Необходимо рассчитывать на длительное сотрудничество. В процессе беседы нередко возникает необходимость в чем-то убедить партнера. Это требует значительных усилий и сильных аргументов. Вместе с тем многое зависит от партнера, его способности, желания и готовности воспринимать аргументы. Прежде чем излагать свои аргументы, необходимо убедиться: • точна ли информация, на которой основываются аргументы? • верны ли заключения? • нет ли аргументации внутренних противоречий? • можно ли привести подходящие примеры и сравнения? • какие возражения и контрдоводы могут возникнуть у партнера? Получая информацию от партнера, полезно убедиться: • нет ли в аргументах партнера противоречий? • можно ли оспорить приводимые факты и предположения? • если в целом положение, выдвигаемое партнером, верно, не вызывают ли сомнение отдельные детали? • не упрощает ли проблему партнер? • правильно ли он оценивает доводы? Чтобы доказательно обосновать свою позицию, полезно учитывать некоторые мелочи, которые могут оказаться решающими: • необходимо оперировать простыми и убедительными доводами. Помнить, что партнер понимает из сказанного значительно меньше, чем он демонстрирует; • небольшое число ярких аргументов достигает большего эффекта, нежели множество мелких и малоубедительных фактов; • необходимо всегда открыто признавать правоту партнера, даже если это не вполне благоприятно; • приспосабливаться к особенностям характера партнера, учитывать его опыт, знания, нацио298 нальные особенности и т. п.;
Конфиденциальность при работе с зардВежными партнерами • избегать простого перечисления фактов, опираясь на них, сформулировать выигрышные моменты своих предложений; • оперировать понятиями, привычными для партнера. Для того, чтобы тактически правильно построить аргументацию необходимо: • излагать главные аргументы при любом удобном случае, но по возможности каждый раз несколько по-новому, сообразуясь с конкретными обстоятельствами; • в зависимости от психологических, национальных или иных особенностей партнера выбирать различные методы убеждения; • избегать обострений, авторитарности в суждениях; • предлагать партнеру варианты решения проблемы, чтобы вызвать или поддержать у него интерес к вашему предложению; • персонифицировать аргументацию, убедительность доказательств зависит прежде всего от их восприятия партнером, прежде постараться выявить его позицию, а затем использовать это при изложении своих доводов; • чтобы добиться большей убедительности своих доводов, необходимо «подсказать» партнеру, какие выводы он может сделать, исходя из них; • если партнер выдвигает контраргументы, на первый взгляд безупречные, нужно задуматься над тем, верны ли они, нет лив них противоречий.
Для данного этапа переговоров очень важен личный опыт, способность быть тактичным и внимательным к партнеру. Основные задачи, решаемые на этом этапе сводятся к следующим: • достижение основной или— в самом неблагоприятном случае — резервной, альтернативной цели; • обеспечение благоприятной атмосферы в конце переговоров. Даже в случае, если главные цели 299
Глава У переговоров не будут достигнуты, необходимо сохранить возможность поддержания дальнейших контактов; • побуждение партнера к выполнению действий. Совместное подведение итогов предполагает, что все участники переговоров имеют четкое и ясное представление по каждому пункту принятых решений и в соответствии с ними готовы начать реализацию плана конкретных действий. Фаза окончания переговоров требует особого внимания, полной концентрации опыта, знаний и умений. Практика показывает, что лучше всего придерживаться правила — не спешить проявлять инициативу, но и не ждать слишком долго психологически удобного момента, иначе можно пропустить его. Одним из признаков приближения окончания переговоров служит изменение поведения партнера — у него появляется расслабленность, усиливается или ослабляется эмоциональное восприятие слов, степень его участия в дискуссиях. Нужно быть готовым к тому, что партнер может принять неудовлетворительные решения. На этот случай должны быть подготовлены варианты, позволяющие продолжить переговоры и преодолеть неблагоприятный настрой партнера. Конечно, не все переговоры завершаются успешно. Такой исход обусловливается отсутствием со своей стороны убедительной аргументации или неготовностью партнера принять предлагаемое вами решение. Вполне логично и такое допущение, что другая сторона лучше подготовлена к переговорам, более опытна, чем вы. В процессе переговоров могут возникнуть препятствия, которые не зависят от обоих партнеров.
7.2.3. Порядок работы с зарубежными партнерами С целью установления единого порядка и режима работы с зарубежными партнерами, обеспечения защиты конфиденциальной информации разрабатывается «Инструкция о порядке работы с зарубежны300 ми партнерами», которой необходимо руководство-
Конфиденциальность при работе с зарубежными партнерами ваться при контактах с представителями совместных предприятий и с представителями конкурирующих фирм. Инструкция должна содержать следующие разделы: • общие положения; • основания для работы с зарубежными партнерами; • формы работы с зарубежными партнерами (прием, организация деловых встреч, переговоров, посещение и прием зарубежных партнеров); • организация работы по ведению телефонных разговоров, прием и отправка телексных сообщений; • организация работы с документами, содержащими конфиденциальную информацию ( обработка поступивших, изданных документов, ведение служебной переписки); организация работы при командировании за рубеж; оформление результатов работы с зарубежными партнерами, учет и отчетность. Общие положения охватывают постановку проблемы защиты конфиденциальной информации при работе с зарубежными партнерами. Основанием для контакта с иностранцами по служебной необходимости являются: планы международных научно-технических связей, заключенные контракты и протоколы, соглашения об установлении прямых производственных, научно-технических связей, решения о совместной деятельности, а также инициатива самих зарубежных представителей и представителей российской стороны.
Прием зарубежных делегаций осуществляется на основе утвержденных программ, составляемых по установленной форме, а также сметы расходов на прием. Программы пребывания приглашенных иностранных делегаций и сметы расходов составляются отделом международных связей, которые затем утверждаются руководством фирмы за неделю До прибытия делегаций. 301
Глава 7 Ответственным за выполнение программы пребывания иностранной делегации является представитель соответствующего отдела. Для участия в деловых встречах с иностранцами, как правило, должны привлекаться специалисты из числа сотрудников, выделенных для работы с иностранцами в количестве не менее двух человек. Переводчиков на деловые встречи приглашает отдел, принимающий иностранцев. Деловые встречи должны проводиться в специально выделенном помещении. Отдел международных связей, принимающий иностранцев, по итогам работы с иностранными делегациями составляет отчеты произвольной формы. По итогам деловых встреч составляются записи бесед по установленной форме. Записи бесед представляются руководству в двухдневный срок после окончания работы с иностранцами, а отчеты, как правило, в двухнедельный срок (два печатных экземпляра). В записях бесед и отчетах указывается: когда, где, с кем состоялась встреча, ее основание и цель; кем дано разрешение на встречу; какое учреждение, организацию или фирму представляли иностранцы; их фамилии и должностное положение; кто присутствовал со стороны фирмы; содержание беседы (существо вопросов и ответы на них); какая документация и какие образцы изделий и материалов переданы иностранцам или получены от них, обязательства сторон по существу обсуждавшихся вопросов, а также другая заслуживающая внимания информация. Отдел документационного обеспечения ведет учет деловых встреч, а также учет сообщений о контактах с зарубежными представительствами. На этом этапе осуществляются организационные мероприятия по результатам работы с зарубежными партнерами.
Конфиденциальность при работе с зарубежными партнерами Вся документация — отчеты по результатам работы с иностранными делегациями и записи бесед, содержащие обязательства и предложения сторон, докладываются отделом международных связей и отделом, организовавшим встречу, руководству фирмы. Вся входящая иностранная корреспонденция, вне зависимости от ее вида, направляется в отдел документационного обеспечения для регистрации и первичного рассмотрения. Входящая корреспонденция представляется" руководству или направляется на рассмотрение и исполнение непосредственно в отделы. После рассмотрения руководством корреспонденция в соответствии с резолюцией направляется исполнителям, и контроль за сроками исполнения поручений осуществляется в соответствии с установленном порядком. Право подписи корреспонденции в адрес иностранцев имеют руководитель, его заместители, начальники отделов и их заместители (по отдельным вопросам). Любая корреспонденция в адрес иностранцев подлежит визированию у руководителя отдела международных связей. Один экземпляр документов остается в отделе документационного обеспечения. Исходящая корреспонденция, адресуемая иностранцам, пишется на соответствующих бланках, на которых указаны номера телефонов, телефаксов и телексов, выделенных для работы с иностранцами. Ставить какие-либо штампы и печати на таких письмах не разрешается. Наименование отдела, фамилия и номер телефона исполнителя письма на подлиннике не указываются, а приводятся на копиях. Телексные сообщения от иностранцев принимаются отделом документационного обеспечения на специально выделенный аппарат сети Телекс. Подготовка проектов телексных сообщений осуществляется отделами по установленной форме на иностранном языке или клером. Все факсимильные сообщения от иностранцев, поступающие в адрес фирмы, подлежат регистрации в отделе документационного обеспечения. Подготовка проектов факсимильных сообщений осуществляется отделами на бланках, используемых для письменной корреспонденции и со специальным титульным лис-
7 том. Тексты сообщений могут быть как на русском, так и на иностранных языках. Передача телексных и факсимильных сообщений иностранцам осуществляется отделами со специально выделенными аппаратами телексной и факсимильной связи. Сотрудники фирмы могут вести телефонные разговоры с иностранцами с телефонов, выделяемых для этих целей в каждом отделе; список телефонов подлежит согласованию с отделом международных связей и отделом технического обеспечения. Организация работы по подготовке к выезду за границу в служебные командировки строится на основании «Временных правил оформления и выдачи заграничных паспортов гражданам РФ», утвержденных приказом МВД России № 66 от 17.02.93 г., в которых предусмотрены все процедуры оформления заграничных паспортов и получения виз для лиц выезжающих в служебные командировки. Существуют определенные правила оформления выезда за границу. На фирме такой работой занимается отдел международных связей, который после подбора соответствующих документов на оформляемого готовит заявку по установленной форме для выезда в служебные загранкомандировки. Соответствующее ходатайство или заявку для выезда в заграничную деловую поездку, связанную с задачами фирмы, рассматривают только в отношении работников, состоящих в штате фирмы. На ходатайстве лиц, направляемых в служебные загранкомандировки, в паспортно-визовой службе МВД России проставляется штамп «Служебная поездка». Для принятия решения о выдаче или отказе в выдаче загранпаспорта УВИР осуществляет необходимую проверку. Осведомленность лица, выезжающего за границу, в сведениях, составляющих государственную тайну, а также наличие других оснований, препятствующих выезду и относящихся к ведению органов государственной безопасности, проверяется этими органами. В процессе проверок устанавливается, не имеется ли в отношении заявителя указанных в законе ограничений, по которым ему может быть временно отказано в выдаче загранпаспорта.
Конфиденциальность при работе с зарубежными партнерами При выдаче загранпаспортов по ходатайствам командирующих организаций лицам, осведомленным в сведениях, составляющих государственную тайну, руководствуются тем, что право принятия решения о выезде этих лиц в загранкомандировки предоставлено руководителям центральных органов исполнительной власти в отношении работников этих органов, а также их предприятий, учреждений и организаций. Такое право предоставлено также главам администраций краев, областей, автономных образований, городов Москвы и Санкт-Петербурга или создаваемым ими для этих целей комиссиям в отношении работников предприятий, учреждений и организаций, находящихся на этой территории, и, наконец, главам соответствующих администраций — в отношении работников этих исполнительных органов. Организации Российской Федерации за получением въездных виз на заграничные паспорта обращаются в дипломатические представительства и консульские службы иностранных государств самостоятельно. Одновременно с оформлением виз отдел по международному сотрудничеству готовит необходимые документы, представляемые руководителю, отражающие все сведения для принятия решения загранкомандировки. Составляется докладная записка, в которой следует указывать: цель выезда; страну командирования и принимающую организацию; срок командирования; условия финансирования поездки; фамилию, имя, отчество и занимаемую должность командируемых. После согласования всех организационных вопросов в отношении загранкомандировки каждому члену делегации выдается техническое задание с конкретным перечнем вопросов, для решения которых организуется поездка. Технические задания составляются соответствующими отделами, согласовываются с отделом международных связей и представляются на утверждение руководству фирмы не позднее, чем за две недели до выезда. По итогам работы с иностранными делегациями и командирования за рубеж составляются отчеты, отражающие выполнение технического задания.
305
Глава 7 В процессе работы с иностранными делегациями, деловых встреч и загранкомандировок подписание каких-либо документов, которые влекут за собой экономическую или административную ответственность, выходящую за пределы компетенции предприятия, допускается только после предварительного согласования текстов этих документов с руководством фирмы. Отделу международных связей необходимо вести учет принимаемых иностранных делегаций и деловых встреч, а также разовых посещений иностранцами фирмы. Организацию контроля за выполнением положений настоящей Инструкции необходимо возложить на руководителей отдела международных связей и на отдел документационного обеспечения.
7.2.4. Порядок защиты конфиденциальной информации при работе с зарубежными партнерами Прием зарубежных партнеров, делегаций, групп должен производится на основании «Инструкции по работе с зарубежными партнерами» и заключенных в установленном порядке международных договоров. Вся ответственность за организацию работы с зарубежными партнерами и соблюдение требований настоящей Инструкции должны нести руководитель фирмы и руководители соответствующих отделов, отвечающие за прием иностранных представителей. Руководители подразделений, отвечающие за организацию работы по осуществлению международных связей, обязаны: • своевременно, в пределах своей компетенции, принимать режимные меры, гарантирующие надежную защиту; • организовывать контроль деятельности подчиненных подразделений по организации и соблюдению режима; устранять выявленные в результате контроля недостатки и осуществлять мероприятия по усилению режима конфиденциальности в связи с приемом зарубежных представителей. Основная работа по приему иностранцев ложится 306 на специально созданные отделы — отдел по между-
Конфиденциальность яри работе с зарубежными партнерами народным связям и отдел документационного обеспечения, непосредственно отвечающие за обеспечение защиты информации в этот период, и отдел, отвечающий за техническое обеспечение. Отдел по международным связям заблаговременно информирует о предстоящем приеме зарубежных представителей и готовит следующие документы: • проекты планов международных связей; • программы пребывания иностранцев в учреждении (предприятии), в том числе дополнительных мероприятий, не предусмотренных программой их пребывания. В свою очередь отделы, отвечающие за документационное и техническое обеспечение, рассматривают проекты всех организационных документов, связанных с приемом иностранцев и другими мероприятиями по линии международного сотрудничества с целью надежной защиты коммерческой информации. В том числе, оценивают эффективность режимных мероприятий, проводимых в отделах, намеченных для приема иностранцев, и контролируют соблюдение режимных мер в целом, и особенно в отделах, принимающих иностранцев. Обобщают и анализируют поступающие материалы по вопросам обеспечения защиты коммерческой информации в связи с пребыванием иностранцев на объектах и в случае необходимости предпринимают меры по его усилению. Принимают участие совместно с отделом международных связей и отделом кадров в подборе кандидатур для работы с иностранцами. Ведут работу с лицами, имеющими непосредственное отношение к конфиденциальной информации, которые привлекаются к участию в мероприятиях по линии международного сотрудничества, с целью повышения бдительности при общении с иностранцами. Для работы с иностранцами отдел международных связей ежегодно должен представлять списки сотрудников, выделенных для работы с зарубежными партнерами, которые затем представляются на утверждение руководителю фирмы.
307
Глава 7 ДЛЯ приема иностранцев необходимо назначать ответственных лиц, которые совместно с соответствующими отделами разрабатывают программу приема иностранцев, которая затем должна быть утверждена в установленном порядке руководителем фирмы. Программа приема иностранцев должна содержать: • сведения о персональном составе делегации (группы) иностранцев, должностном положении ее членов и сроках ее пребывания; • цель приема иностранцев, объем и характер информации, с которой они будут ознакомлены или которая будет передана им; • данные о лицах, выделяемых для работы с иностранцами; • маршрут передвижения зарубежных представителей; • материалы и информация, которые можно использовать в беседах с иностранцами; • порядок встречи, сопровождения и проводов иностранцев. Для обеспечения наибольшей надежности и защиты отделам, которым поручен прием иностранцев, на основе утвержденной программы их приема необходимо разрабатывать план режимных мероприятий по обеспечению режима конфиденциальности в период пребывания иностранцев. План утверждается руководителем фирмы. План режимных мероприятий должен предусматривать: • мероприятия по усилению режима конфиденциальности в целом, и особенно в отделах, где будут принимать иностранцев; • контроль в соответствии с установленными требованиями за подготовкой документации, образцов изделий и другого рода информации, ознакомление с которой или передача которой иностранцам предусматривается программой приема; • инструктаж лиц, выделенных для работы с инос308 транцами;
Конфиденциальность ври работе с зарубежными партнерами • подготовку помещений для приема иностранцев; • подготовку маршрута передвижения иностранцев. Объем и характер информации, предназначенной для использования при приеме иностранцев, определяется заблаговременно в строгом соответствии с целью приема. Переговоры, совместные научно-исследовательские, опытно-конструкторские работы и другие совместные мероприятия с зарубежными партнерами проводят в специально предназначенных или выделенных и соответствующим образом оборудованных для этих целей помещениях, по возможности изолированных от основных отделов. В связи с этим предъявляется ряд режимных требований: • помещения должны быть спроектированы и построены так, чтобы максимально затруднить проникновение в них посторонних лиц; • стены и перегородки, отделяющие служебные помещения от других помещений, должны быть выполнены из бетона, железобетона (монолитными, сборными) толщиной более 80 мм или кирпича толщиной более 120 мм; • вышеуказанные помещения целесообразно размещать не ниже второго и не выше предпоследнего этажа; • вблизи окон не должны проходить пожарные лестницы, водосточные трубы, козырьки, балконы и т. п., которые могли бы быть использованы для проникновения в служебное помещение; • двери служебных помещений оборудуются надежными запорами, устройствами для опечатывания, а также устройствами для запирания; в служебных помещениях желательно предусматривать охранную сигнализацию, имеющую автономный источник питания и автоматическое переключение в случае выхода из строя основной системы электроснабжения. Целесообразно оборудование помещений автоматической пожарной сигнализацией. 309
Глава 7 Указанные помещения до приема иностранцев и после окончания работы с ними проверяются сотрудниками отдела технического обеспечения, в необходимых случаях должны привлекаться соответствующие специалисты. Подготовка производственных помещений, выделенных для приема (пребывания) иностранцев, предусматривает: • прекращение на период пребывания в этих помещениях иностранцев тех видов закрытых работ, знакомство с которыми не предусмотрено программой приема иностранцев и надежная легенда которых невозможна; • удаление конфиденциальной документации, оборудования, материалов и других предметов, которые могут свидетельствовать о проводимых работах. Результаты работы с иностранцами оформляются в виде письменных отчетов, записей бесед, в которых подробно излагаются обсуждавшиеся вопросы. Записи производят назначенные ответственными за прием и представляют их в отдел международных связей. При необходимости те же лица должны представлять руководителям соответствующих отделов документы, в которых отражались бы вопросы режимного характера, в том числе: • проблемы, выходящие за рамки программы, к которым был проявлен повышенный интерес иностранцев, и в чем это выражалось; • возможные попытки нарушения режима пребывания и другие подозрительные действия со стороны иностранцев; • выводы и предложения. Подводя итог, хотелось бы еще раз сказать о том, что главной причиной, приводящей к утечке информации, составляющей коммерческую тайну, является то, что большинство сотрудников фирмы до конца не осознало, что эта информация является одним из основных ресурсов фирмы, который, как и все другие ресурсы, нуждается в защите и который нельзя растрачивать попусту. При этом следует исходить из принципиального положения, что в условиях рынка,
Конфиденциальность ври работе с зарубежными партнерами конкуренции «закрытость» сведений выступает как элемент маркетинга и предприимчивости, как способ максимизации прибыли предприятия, создания оптимальных условий для его участия в научно-техническом прогрессе, а «открытость», бесплатный обмен «опытом работы» могут оказаться экономически опасными. От недопонимания этого происходит утечка информации по разным причинам: неумение правильно рекламировать свою продукцию, неверно понимаемый престиж и т. д. Существует и чисто психологический аспект. Наши специалисты и инженеры, выступая на конференциях, проводя различные переговоры, рассказывают об изобретениях настолько же подробно, как они привыкли это делать на советских предприятиях. Действовать по-другому они и не могут, их этому просто не учат. Большую роль должно сыграть воспитание и обучение сотрудников. Еще до начала переговоров сотрудник должен четко представлять, какую информацию он имеет право передавать, а что оставить «за кадром»: необходимо учить специалистов работать по принципу «черного ящика» — входные параметры изделия, полученные результаты, а как они получены — секрет фирмы. В конце концов работник должен осознавать, что от успешно проведенных переговоров зависит как благосостояние фирмы, так и его личное благосостояние. Обеспечение защиты сведений, составляющих коммерческую тайну, должны осуществлять компетентные лица, непосредственно участвующие в коммерческой деятельности субъекта, выступающего на рынке товаров и услуг. Такие лица должны быть специально для этого подготовлены, а их состав должен определяться руководителем фирмы. При больших объемах коммерческой деятельности и связанных с ней сведений, составляющих коммерческую тайну, целесообразно организовать структурные подразделения, на которые возложить организацию сохранения информации предприятия, с учетом его специфики. Эти подразделения должны производить систематический анализ рынка, накапливать опыт участия в рыночных отношениях
Глава 7 и на основании этого давать рекомендации по закрытию отдельных сведений или их открытию, а также поведению лиц, представляющих субъект на рынке товаров и услуг или на переговорах с другими участниками свободного рынка. Отсутствие подобных служб и их методического обеспечения является еще одной причиной утечки информации, составляющей коммерческую тайну.
Глава 8 АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Доверяй, но проверяй
Аудит (контроль) состояния защиты информации — специальная проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. (Закон РФ «Об информации, информатизации и защите информации»)
Постулаты 1. Угрозы легче предупредить, чем устранять результаты их воздействия. 2. На бога надейся, а сам не плошай. 3. Дружба дружбой, а табачок врозь. Проведение независимого аудита позволяет своевременно выявить существующие бреши и объективно оценить соответствие параметров, характеризующих режим информационной безопасности (НБ), необходимому уровню.
Глава 8 ДЛЯ решения этих задач создаются специальные организации аудиторов в области информационной безопасности. Они ставят своей целью проведение экспертизы соответствия системы информационной безопасности определенным требованиям, оценки системы управления безопасностью, повышения квалификации специалистов в области информационной безопасности. Такие организации могут быть как государственными (например, подразделения государственной технической комиссии при Президенте РФ), так и иметь статус независимых, негосударственных. Аудит позволяет оценить текущую безопасность функционирования информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы фирмы, корректно и обоснованно подойти к вопросу обеспечения безопасности ее информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы.
314
Основными направлениями деятельности в области аудита безопасности информации являются: 1. Аттестация объектов информатизации по требованиям безопасности информации. • аттестация автоматизированных систем, средств связи, обработки и передачи информации; • аттестация помещений, предназначенных для ведения конфиденциальных переговоров; • аттестация технических средств, установленных в выделенных помещениях. 2. Контроль защищенности информации ограниченного доступа. • выявление технических каналов утечки информации и способов несанкционированного доступа к ней; • контроль эффективности применяемых средств защиты информации. 3. Специальные исследования технических средств на наличие побочных электромагнитных излучений и наводок (ПЭМИН).
Аудит информационной безопасности • персональные ЭВМ, средства связи и обработки информации; • локальные вычислительные системы; • оформления результатов исследований в соответствии с требованиями Гостехкомиссии России. 4. Проектирование объектов в защищенном исполнении. • разработка концепции информационной безопасности (первая глава учебника); • проектирование автоматизированных систем, средств связи, обработки и передачи информации в защищенном исполнении; • проектирование помещений, предназначенных для ведения конфиденциальных переговоров.
Дудит выделенных помещений Общепринятая методика аудита выделенных помещений условно разделяет действия по выявлению средств несанкционированного съема информации (НСИ) на три этапа: • подготовительный этап; • этап непосредственного проведения аудита; • заключительный этап. Подготовительный этап аудита выделенных помещений: 1. Уточнение границ и ранжирование по степени важности информации, относимой к конфиденциальной. 2. Уточнение вероятного злоумышленника, оценка его возможностей, тактики внедрения средств НСИ и их использования. 3. Разработка замысла проведения аудита выделенных помещений: • выработка целевой установки; • определение масштаба и места проведения поисковых мероприятий, выбор времени проведения; м разработка легенды, под прикрытием которой будет проводиться аудит; • выработка замысла активации внедренных средств НСИ; 315
Глава • выбор вариантов действий в случае обнаружения средств НСИ. 4. Изучение планов помещений, схем технических коммуникаций, связи, организации охраны, доступа и других необходимых документов. 5. Предварительный осмотр объекта. 6. Разработка перечня аппаратуры, необходимой для проведения проверки помещений и объектов. 7. Разработка дополнительных мер по активации внедренных средств НСИ на время проведения поиска с различными типами аппаратуры. 8. Распределение привлекаемых сил и средств по объектам и видам работ. 9. Уточнение частных методик использования привлекаемой аппаратуры в конкретных условиях проверки. 10. Оформление плана проведения комплексной проверки помещений и объектов и утверждение его у руководителя предприятия. 11. Подготовка аппаратуры для проведения поисковых и исследовательских работ. 12. Предварительный сбор данных и анализ радиоэлектронной обстановки в районе обследуемых объектов и помещений. 13. Подготовка документов прикрытия работ по проверке помещений в соответствии с выбранной легендой прикрытия. 14. Подготовка бланков, схем, заготовок других документов, необходимых для проведения работ на последующих этапах. Перечень специального оборудования и технических средств, рекомендуемых для проведения аудита помещений 1. Комплект досмотровых зеркал (ПОИСК-2, ШМЕЛЬ-2) — Визуальный осмотр оборудования, мебели, технологических коммуникаций. 2. Комплект луп, фонарей — Визуальный осмотр поверхностей и отверстий. 3. Технический эндоскоп с дистальным концом (серия ЭТ, Olimpus) — Визуальный осмотр труднодоступных полостей и каналов. Комплект отверток, ключей и радиомонтажного ин316 струмента — Разборка и сборка коммутационных,
Аудит информационной безопасности электроустановочных и других устройств и предметов. 5. Досмотровый металлоискатель (УНИСКАН 7215, АКА 7202, Comet) — Проверка предметов и элементов интерьера на наличие металлических включений. 6. Прибор нелинейный радиолокации (NR-900EM, ОРИОН NGE-400, РОДНИК 23) — Проверка строительных конструкций и предметов на наличие радиоэлектронных компонентов. 7. Переносная рентгенотелевизионная установка (ШМЕЛЬ 90/К, ФП-1, РОНА) — Проверка элементов интерьера на наличие скрытно установленных . средств НСИ. 8. Переносный радиоприемник или магнитола — Озвучивание проверяемых помещений. 9. Многофункциональный поисковый прибор (ПИРАНЬЯ, ПСЧ-5, D-008) — Проверка проводных коммуникаций на наличие информационных сигналов. 10. Низкочастотный нелинейный детектор проводных коммуникаций (ВИЗИР, возможная замена по телефонным линиям: ТПУ-5К или SEL SP-18/T) — Проверка проводных коммуникаций на наличие нелинейности параметров линии. 11. Комплекс обнаружения радиоизлучающих средств и радиомониторинга (КРОНА-6000М, КРК, АРК-Д1, OSC-5000) — Анализ радиоэлектронной обстановки, выявление радиоизлучающих средств негласного съема информации. 12. Обнаружитель скрытых видеокамер (IRIS VCF-2000, нет аналогов) — Выявление радиоизлучающих видеокамер. 13. Дозиметр поисковый (РМ-1401, НПО-3) — Обнаружение и локализация источников радиоактивного излучения. 14. Комплекс для проведения исследований на сверхнормативные побочные электромагнитные излучения (НАВИГАТОР, ЛЕГЕНДА- ЗАРНИЦА) — Выявление информативных побочных электромагнитных излучений. 15. Комплекс для проведения акустических и виброакустических измерений СПРУТ-4А — Выявление акустических и виброакустических сигналов и на-
водок, исследование звуко- и виброизоляции, проверка систем зашумления. Структура плана аудита помещений: 1) выводы из оценки противника; 2) замысел проведения аудита помещений: • целевая установка; • перечень и краткая характеристика проверяемых помещений; • перечень запланированных для каждого помещения поисковых работ и сопутствующих исследований; • время проведения проверки; • легенда, под прикрытием которой будет проводиться проверка; • меры по активации внедренных средств НСИ; • действия в случае обнаружения средств НСИ; 3) привлекаемые для проведения проверки силы, технические средства и их распределение по объектам и видам работ; 4) основные особенности применения технических средств, определяемые условиями проверки; 5) дополнительные меры по активизации внедренных средств НСИ; 6) перечень подготавливаемых по результатам проверки итоговых и отчетных документов и срок их представления для утверждения. Некоторые сложности могут возникнуть при организации предварительного сбора данных и анализа радиоэлектронной обстановки в районе обследуемых помещений. Если служба безопасности предприятия не располагает собственным постом радиомониторинга, с руководителем предприятия должно быть согласовано место и время развертывания временного пункта радиоконтроля с комплектом необходимой радиоприемной и анализирующей аппаратуры. В целях конспирации желательно, чтобы это место находилось где-нибудь за территорией предприятия, но в непосредственной близости от намеченных к проверке помещений. В качестве такого пункта мы рекомендуем использовать обычный легковой автомобиль с развернутым в нем комплексом обнаружения радиоизлучающих средств и радиомони318 торинга.
Аудит информационной безопасности Итогом деятельности пункта радиоконтроля на этом этапе работ должна быть карта занятости радиоэфира в условиях обычного режима работы предприятия, база данных идентифицированных радиосигналов, а также база данных подозрительных радиоизлучений, требующих дополнительного исследования. Работы подготовительного этапа обычно завершаются разработкой документов, подтверждающих легенду прикрытия при проведении различных видов поисковых и исследовательских работ, а также специальных бланков и заготовок документов, ускоряющих регистрацию промежуточных результатов запланированных работ. Целесообразно заранее изготовить бланки протоколов будущих измерений, схемы коммуникаций и планы проверяемых помещений, на которые будут наноситься отметки мест обнаружения средств НСИ и подозрительных мест, журналы регистрации заводских номеров проверенного оборудования, мест установки пломб и скрытых меток, способствующих ускорению работ при последующих специальных проверках, и т.д. Этапы непосредственного проведения аудита: 1. Визуальный осмотр ограждающих конструкций, мебели и других предметов интерьера помещений. 2. Проверка элементов строительных конструкций, мебели и других предметов интерьера помещений с использованием специальных поисковых технических средств. 3. Выполнение запланированных мер по активации внедренных средств НСИ. 4. Проверка линий и оборудования проводных коммуникаций: • линий силовой и осветительной электросети; • линий и оборудования офисной и абонентской телефонной сети; • линий селекторной связи; • • линий радиотрансляционной сети; • линий пожарной и охранной сигнализации; • линий системы часофикации и других проводных линий, в том числе, невыясненного назначения. 5. Исследование радиоэлектронной обстановки в проверяемых помещениях для выявления сигна-
Глава 8 лов радиопередающих средств НСИ и их локализации. 6. Поиск средств негласного съема и передачи информации, внедренных в электронные приборы. 7. Исследование звукопроницаемости элементов конструкций, проверка трубопроводных и других технологических коммуникаций на наличие в них акустических и виброакустических сигналов из проверяемого помещения. 8. Исследование побочных электромагнитных излучений компьютеров, оргтехники и другого оборудования для выявления в них информативных сигналов. Проверку проводных коммуникаций обычно начинают с поиска в них сигналов подслушивающих устройств или других средств съема информации. Для поиска таких сигналов используется специальная аппаратура. В случае обнаружения в линии сигнала подслушивающего устройства осуществляют тщательный визуальный осмотр доступных участков линии и всех подключенных к линии устройств, приборов, коммутационных и электроустановочных изделий. Обычно, чтобы убедиться в отсутствии в них средств НСИ, следует провести хотя бы частичную их разборку. Тщательно осматриваются подводящие провода, особенно в местах, где возможно несанкционированное подключение к ним каких-либо устройств или отводов. Перед осмотром элементов электросети фазы электросети, по возможности, обесточиваются. В связи с повышенной информативной ценностью для противника телефонных каналов связи проверка телефонных линий и оборудования должна проводиться с особой тщательностью. Помимо традиционного поиска информативных сигналов мы рекомендуем проверять телефонные линии на наличие нелинейности их параметров и несимметрию, которые могут быть обусловлены подключением к линии средств НСИ. Следует помнить, что индуктивные съемники информации с проводных линий не выявляются ни одним из перечисленных типов приборов. Поэтому даже применение нескольких разных по своим возможносТЯМ ПОИСКОВЫХ И анализирующих устройств все-таки
Лудит информационной безопасности не может заменить визуальный осмотр телефонных линий. Особенно детально должны быть осмотрены распределительные коробки и телефонный шкаф, поскольку там наиболее просто может быть осуществлено несанкционированное подключение к линии. Обычно параллельно с проверкой проводных коммуникаций проводится радиомониторинг помещений для выявления информативных побочных излучений оргтехники и сигналов средств НСИ, использующих радиоканал для передачи перехваченной информации. Одной из проблем современного радиомониторинга является выявление средств НСИ с нетрадиционными видами сигналов (например, шумоподобными сигналами с фазовой манипуляцией или сигналами со сверхширокополосной частотной модуляцией) или скачкообразным изменением несущей частоты. Существующие средства радиоконтроля не позволяют автоматически идентифицировать такие излучения с сигналами средств НСИ. В этой связи для радиомониторинга помещений наиболее подходят такие автоматизированные комплексы, которые позволяют оператору в необходимых случаях самому проводить детальный анализ принимаемых сигналов. Серьезным проблемным вопросом поисковых работ является выявление средств НСИ, внедренных противником в ПЭВМ или другие электронные приборы. Особую сложность представляет выявление таких средств, которые были внедрены в прибор заранее, до появления прибора в помещении, в условиях, позволивших закамуфлировать средства съема информации с особой тщательностью. В этой связи в важных служебных помещениях рекомендуется размещать только сертифицированные технические средства, прошедшие предварительный визуальный осмотр и специальную проверку. Напомним, что такую процедуру должны проходить не только новые электронные приборы, но и любые новые предметы и подарки, включая книги, видеокассеты, пепельницы и т.п. В случае подозрения на возможность внедрения противником средств НСИ в ПЭВМ или другие электронные приборы следует провести детальное обследование этих приборов. Прежде всего проверяемый 11 Безопасность
Глава 8 прибор необходимо разместить отдельно от других, подключить его к электросети и попытаться с помощью индикатора поля зафиксировать факт наличия или отсутствия радиоизлучения внедренного средства съема информации. Поиск излучения целесообразно повторить после приведения прибора в рабочее состояние (включения прибора). Затем с помощью прибора ПСЧ-5 или ему подобного следует убедиться в наличии или отсутствии сигналов, возможно передаваемых внедренным средством по проводам электрической сети или, если они есть, другим подключенным к прибору проводным линиям. Следующая стадия обследования — разборка прибора и тщательный визуальный осмотр его содержимого. В процессе осмотра обращают внимание ига наличие в приборе нестандартных или дополнительных плат, радиоэлементов, следов нефабричного монтажа. С особой тщательностью, с помощью лупы осматривают крупногабаритные детали: микросхемы, электролитические конденсаторы, мощные транзисторы, коммутационные элементы. Существенную помощь при этом могут оказать ранее сделанные фотографии расположения элементов монтажа на платах аналогичного прибора. В отчетных документах по проведению специальной проверки помещений обычно требуется оценить возможность утечки информации по различным техническим каналам. Для этого проводятся специальные исследования, включающие исследование ПЭМИ компьютеров и других средств оргтехники, наводок, возникающих за счет ПЭМИ и взаимного влияния электромагнитных полей проводных линий, информативных сигналов в цепях заземления, виброакустических сигналов в элементах конструкции помещений и другие. Заключительный этап работ по комплексной специальной проверке помещений заключается в обработке результатов исследований, проведении необходимых инженерных расчетов, разработке и представлении руководству отчетных и итоговых документов. Итоговым документом, завершающим работы по обследованию помещений на наличие средств НСИ, является акт проведения комплексной специальной проверки помещений. Акт подписывается руководите-
Дудит информационной безопасности лем и членами поисковой бригады, согласовывается с руководителем организации, проводившей поисковые работы, и утверждается руководителем предприятия. Этот документ обычно включает: • время проведения специальной проверки; в состав поисковой бригады; • перечень проверенных помещений и объектов; • перечень и объем основных поисковых работ и сопутствующих исследований; • перечень использовавшейся поисковой и исследовательской аппаратуры; • результаты специальной проверки: • место обнаружения средства НСИ, их состояние и краткие характеристики; • принятые по отношению к обнаруженным средствам меры; • выводы из оценки существующей степени защищенности помещений и объектов от утечки конфиденциальной информации по различным каналам; • рекомендации по повышению защищенности помещений и объектов и предотвращению съема информации по выявленным техническим каналам ее утечки. Заключительный этап комплексной специальной проверки помещений 1. Обработка результатов исследования, оформление протоколов измерений, регистрационных журналов, проведение необходимых инженерных расчетов. 2. Определение технических характеристик, потребительских свойств изъятых средств НСИ, ориентировочного времени и способов их внедрения. 3. Составление описания проведенных работ и исследований с приложением необходимых схем и планов помещений. 4. Разработка рекомендаций по повышению защищенности проверенных помещений и объектов: • составление перечня и схем выявленных технических каналов утечки информации по каждому помещению и объекту; • оценка степени существующей защиты каждого помещения и объекта от негласного съема информации по выявленным каналам ее утечки; 323
Глава 8 • разработка дополнительных мер и способов защиты по каждому каналу и помещению (организационных, в том числе: режимных, инженерных, технических). 5. Составление сводного перечня технических средств и систем, рекомендуемых к установке для защиты информации от утечки по техническим каналам. 6. Разработка предложений по способам использования рекомендуемых технических средств и систем и объединению их в единую комплексную систему защиты информации. 7. Составление акта проведения комплексной специальной проверки помещений. 8. Представление итоговых и отчетных документов руководителю предприятия для утверждения. К числу отчетных документов относится описание проведенных работ и исследований. В состав этого документа в качестве приложений входят протоколы измерений, необходимые инженерно-технические выкладки, планы помещений с указанием мест размещения аппаратуры, обнаруженных средств НСИ и технических каналов утечки информации. В этих документах указывается: аппаратура, использованная для проведения измерений, ее заводские номера и даты последних проверок, методика проведения измерений, уровни обнаруженных сигналов, их частоты и другие параметры. Для руководства предприятия, заказавшего проведение комплексной специальной проверки помещений, наибольший интерес, помимо результатов поиска средств НСИ, представляют рекомендации по повышению защищенности проверенных помещений и предотвращению съема информации по выявленным техническим каналам ее утечки. В зависимости от объема и степени детализации эти рекомендации могут составлять отдельный отчетный документ. Зачастую руководство предприятия ожидает от специалистов строгих количественных оценок степени защиты каждого помещения и объекта от негласного съема информации по всем выявленным каналам ее утечки. На практике такие оценки удается по324 лучить далеко не всегда, ибо они требуют проведения
Аудит информационной безопасности дополнительных исследований и расчетов, как правило, выходящих за рамки специальной проверки помещений. Обычно приходится ограничиваться указанием зон энергетической доступности источников информативных сигналов, ранжированием выявленных каналов утечки информации по степени угроз, экспертными оценками вероятности съема информации различными видами специальных технических средств и другими аналогичными показателями. При разработке рекомендаций по перекрытию каналов утечки информации следует руководствоваться соображениями здравого смысла. Меры защиты должны быть адекватны степени угроз, в противном случае все финансовые ресурсы предприятия могут целиком уйти на создание системы защиты информации. Опытный специалист, владеющий основами системного мышления, всегда может найти такую комбинацию организационных, инженерных, технических мер и способов защиты, которая будет близка к оптимальной по универсальному критерию «эффективность стоимость». Простой набор мер и средств защиты информации нейтрализует лишь отдельные угрозы ее безопасности, оставляя бреши в обороне. Только постоянно развивающаяся система информационной безопасности может сдержать натиск непрерывно совершенствующихся средств и методов негласного съема информации.
1. Аудит информационной безопасности фирмы — это мощное средство оценки состояния защиты информации. 2. Аудит может проводиться как собственными силами СБ фирмы, так силами специальных лицензированных аудиторских фирм. 3. Регулярность, периодичность и масштабность аудита определяются реальной обстановкой общей безопасности предприятия.
Послесловие
Опыт показывает, что для достижения удачных решений по защите информации необходимо сочетание правовых, организационных и технических мер. Это сочетание определяется конфиденциальность^ защищаемой информации, характером опасности и наличием средств защиты. В общем случае технические меры безопасности составляют незначительную часть от общих мер защиты (правовых и организационных). Однако ни одну из них упускать нельзя. Каждая мера дополняет другую, и недостаток или отсутствие любого способа приведет к нарушению защищенности. Работы по созданию системы защиты информации (СЗИ) включают в себя следующие этапы: • анализ состава и содержания конфиденциальной информации, циркулирующей на конкретном объекте защиты; • анализ ценности информации для предприятия (организации) с позиций возможного ущерба от ее получения конкурентами; • оценка уязвимости информации, доступности ее для средств злоумышленника; • исследование действующей системы защиты информации на предприятии; • оценка затрат на разработку новой (или совершенствование действующей) системы; • организация мер защиты информации; • закрепление персональной ответственности за защиту информации; • реализация новой технологии защиты информации;
Послесловие • создание обстановки сознательного отношения к защите информации; • контроль результатов разработки и прием в эксплуатацию новой системы защиты. Изложенные этапы можно считать типовыми для процесса разработки систем защиты, так как они в значительной мере охватывают практически весь объем работ на организационном уровне. Самым начальным, исходным шагом, направленным на развертывание работ по созданию или совершенствованию СЗИ, является разработка приказа руководителя организации (предприятия) на проведение работ с указанием конкретного должностного лица, ответственного за создание СЗИ в целом. В приказе излагаются цели и задачи создания СЗИ в данной организации, определяются этапы и сроки их выполнения, назначаются конкретные должностные лица, ответственные за отдельные этапы, отдельные виды работ. В приказе определяется подразделение или временный творческий (научно-технический) коллектив, который будет вести работы по созданию (совершенствованию) системы. Если к работе по созданию СЗИ будут привлекаться сторонние организации, в приказе оговаривается способ взаимодействия с ними, а также даются необходимые поручения по его обеспечению. В соответствии со сложившейся практикой разработки сложных систем устанавливаются следующие стадии: • предпроектирование работ (обследование и разработка технического задания); • проектирование (разработка технического, рабочего или технорабочего проектов) ; • ввод СЗИ в эксплуатацию. Окончательное решение о стадийности проектирования разработки СЗИ определяется на стадии предпроектных работ при разработке ТЗ исходя из производственно-технических условий, экономических возможностей, особенностей СЗИ и используемых технических средств. В ходе выполнения работ формируется: • проектная документация — технический, рабочий или технорабочий проект (этап реализации технологии СЗИ); • организационно-распорядительная документация (разрабатывается по всем этапам). 327
Послесловие Одной из ответственнейших работ является обследование объекта защиты (предприятия, организации, фирмы, банка). На данной стадии: • определяется категория объекта с позиций степени конфиденциальности его информации по важности, ценности и секретности; • обследуются все информационные потоки по виду и важности информации; • оцениваются режимы и технология обработки, передачи й хранения подлежащей защите информации; • оцениваются технические средства обработки информации на всем технологическом цикле на предмет их опасности и наличия ПЭМИН; • определяются состав и содержание организационных, организационно-технических и технических мер, реализующих защитные мероприятия. В результате проведения этих работ должны быть разработаны: информационная модель организации, структура информационных потоков, классификаторы потенциальных каналов утечки информации и аналитический обзор действующей системы защиты с оценкой ее эффективности, надежности и обеспечения ею необходимой безопасности. Комплексный анализ полученных результатов в сочетании с инструментальным обследованием технических средств обработки информации с использованием контрольно-измерительной аппаратуры позволит выявить возможные каналы утечки информации за счет ПЭМИН, оценить способы несанкционированного доступа к техническим средствам и документам. На этапе разработки определяются организационно-функциональная схема СЗИ, порядок и правила работы сотрудников в новых условиях. Предлагаемый к внедрению проект СЗИ подлежит изучению руководством организации и последующей его защите. После этого принимается решение о внедрении разработки в практику деятельности организации. Эту работу обычно выполняет группа ревизии, приема и контроля. По завершении всех конструкторских работ СЗИ принимается в опытную эксплуатацию. Опытная эксплуатация имеет целью отработку взаимодействия подразделений и служб в условиях новой технологии, отладку технологического процесса обра-
Послесловие ботки информации и проверку соответствия реализованных решений требованиям технического проекта. Опытная эксплуатация проводится на реальных информационных потоках в соответствии с установленным регламентом. Завершающей стадией является прием СЗИ в промышленную эксплуатацию. Для этого создается специальная приемная комиссия. Комиссия составляет акт приемки, в котором дается характеристика средствам и мерам защиты, фиксируется их полнота и достаточность, обеспечивающая требуемую степень безопасности. Акт утверждается руководством. На основании акта готовится приказ по организации на ввод СЗИ в промышленную эксплуатацию. Порядок действий по обеспечению безопасности промышленной и коммерческой информации с детальным изложением решаемых вопросов, ответственности по их решениям, необходимых мероприятий, учитывающих специфические особенности и содержание конкретных разрабатываемых документов по основным этапам разработки, приведен в таблице 19. Таблица содержит в основном организационные мероприятия, содержащие основные направления действий по разработке и обеспечению функционирования СЗИ. Следует отметить, что хотя этот порядок и типовой, но он носит рекомендательный характер и не претендует на нормативный материал. Независимо отого, насколько хорошо разработаны технические и организацго, насколько хорошо разработаны технические и организационные меры безопасности, они в конце концов основываются на человеческой деятельности, в которой возможны ошибки и злой умысел. Если отдельный сотрудник обманет доверие, то никакая система безопасности и секретности не сможет предотвратить неправомерное овладение информацией. Для обеспечения уверенности в том, что данная организация успешно поддерживает функционирование системы безопасности, применяются различные методы проверки. Это регулярные независимые инспекции и ревизии, а также проверочные комиссии, включающие представителей всех участвующих в работе с конфиденциальной информацией. Так как ни одна из форм не является идеальной, то общий контроль за деятельностью системы защиты и ее функционированием должен осуществлять высший орган
Послесловие
Этапы
330
i. ЛНЛЛШ
I. лпллпл
э. ицьнкл
состава и содер- ценности жания конфиинформации денциальной информации
уязвимости информации
ВАНИЕ действующей системы защиты информации
затрат иа разработку новой системы зашиты информации
Какие сведения следует охранять? Кого интересуют охраняемые сведения и когда? Почему они нуждаются в получении этих сведений?
Какие виды информации имеются? Какова ценность каждого вида информации? Какая защита необходима для каждого вида информации?
Какие каналы утечки информации имеются? Какова степень уязвимости каналов утечки? Насколько уменьшится уязвимость информации при использовании системы и средств защиты?
Какие меры безопасности используются? Какой уровень организации защиты информации? Какова стоимость доступных мер защиты информации? Какова эффективность действующей системы защиты информащиты информации?
Какова стоимость новой системы защиты? Какой уровень организации новой системы? Какая стоимость доступна и какая велика? Какой выигрыш будет получен при новой системе?
Руководство организации, предприятия
Администрация
Специалисты отдела безопасности
Администрация, линейное руководство, отдел безопасности
Администрация, финансово-плановая служба
Обеспечить изучение вопросов состояния секретности и защиты информации. Составить подробный обзор всех информационных потоков. Проверить обоснованность и необходимость информационных потоков
Установить правовые и законодательные требования. Разработать принципы определения ценности информации. Определить ценность каждого вида информации
Составить перечень каналов утечки информации. Составить перечень уязвимых помещений. Установить приоритеты информации и определить охраняемые сведения. Классифицировать информацию по приоритетам и ценности
Составить аналитический обзор действующей системы защиты информации. Оценить затраты и степень риска при действующей системе защиты информации
Разработать план реализации замысла на создание новой системы защиты информации. Изыскать необходимые ресурсы
Оценить необходимость накопленной информации
Законодательную ответственность администрации за безопасность информации. Степень ущерба при раскрытии, потере, ошибках в информации. Наличие нормативных документов
Распределение приоритетов информации, требующей защиты, путем определения относительной уязвимости и степени секретности
Усиление безопасности не остановит злоумышленника. Что новая технология может быть эффективнее по критерию эффективность/стоимость
Установить требования по финансированию и его источники
Информационная Структура класилмодель организа- сификации ции, предприятия формации. Принципы классификации . информации. Законодательные требования, инструкции, нормы
Классификатор ипформации. Классификатор каналов утечки информации
Аналитический обзор действующей СЗИ и ее безопасность
Средства СЗИ. Бюджет па разработки. Внедрение и сопровождение новой СЗИ
Послесловие
Послесловие
332
руководства организации (предприятия) через специальные подразделения обеспечения безопасности. Оценка эффективности защиты должна осуществляться в соответствии с принципом комплексности и включать: • установление на основе комплексного подхода состава проверяемых мер и средств: воспрещения, исключения несанкционированного доступа, режим; • проверку организационно-режимных мероприятий; • проверку категории объекта; • проверку эффективности защиты информации; • проверку воспрещения несанкционированного доступа; • составление акта комплексной проверки; • разработку рекомендаций по совершенствованию защиты (устранению установленных в процессе контроля недостатков). На конкретных объектах при контроле эффективности защиты, обеспечиваемой конкретными СЗИ, может иметь место значительное разнообразие задач проверки. Так, на одном объекте может быть достаточно осуществить проверку эффективности экранирования, на другом — проверить эффективность шумовой защиты, а на третьем — необходимо убедиться, что излучения ПЭМИН могут быть приняты за пределами охраняемой территории организации (предприятия). То же имеет место и при проверке эффективности защиты информации от несанкционированного доступа: на одном объекте используется, например, монопольный режим обработки подлежащей защите информации, а на другом — программная система защиты информации. Все это означает, что работа по контролю эффективности защиты должна начинаться с определения состава проверяемых мер и средств. Кроме того, организационно-режимные средства и мероприятия должны иметь преимущественное значение по отношению к другим мерам и средствам защиты, поскольку их состав и эффективность оказывают определяющее действие на эффективность защиты от несанкционированного доступа. Это связано с тем, что при неправильном определении степени конфиденциальности защищаемой информации может оказаться неэффективным как воспрещение, так и защита от НСД. Иначе говоря, необходимо начинать контроль эффективности
защиты с контроля организационно-режимных мер и средств защиты. Далее последовательность проверки может быть произвольной. Работы по проверке эффективности противодействия и защиты от НСД проводятся параллельно, поскольку на практике могут осуществляться только разными группами специалистов. Организация и проведение контроля организационных мероприятий осуществляется с целью выявления нарушений требований соответствующей инструкции по обеспечению режима, которая действует на данном объекте, а также того, как данная инструкция и действующие по ней исполнители предотвращают возникновение нарушений. При подготовке к проверке целесообразно на основе анализа составить перечень возможных нарушений, что может оказать существенную помощь в организации контроля. Эффективность защиты объекта обеспечивается, как известно, в соответствии с категорией его важности. В свою очередь, категория важности определяется в соответствии с грифом защищаемой информации. Поэтому после проведения организационно-режимных мероприятий (работ по проверке точности установления грифа защищаемой информации) можно провести проверку правильности категорирования объекта. Если при этом категория объекта оказалась неправильно определенной (заниженной), а защита на объекте реализована в точном соответствии с категорией, то защиту следует считать неэффективной. Контроль эффективности защиты информации от утечки за счет ПЭМИН предусматривает проведение работ с использованием определенной контрольноизмерительной аппаратуры в соответствии с существующими методиками. Этот контроль имеет целью определить наличие каналов утечки информации и их уровень за пределами охраняемой территории объекта. Особое внимание при оценке эффективности системы защиты техническими средствами необходимо обратить на их надежность и безотказность. При их эксплуатации имеют место поломки, сбои, отказы, вследствие чего они не обеспечивают выполнение задачи защиты. Отсюда задача обеспечения надлежащей надежности технических средств обретает значительную важность, так как уровень, качество и безопасность защиты находятся в прямой зависимости от надежности технических средств.
Приложение 1 ГОСТЕХКОМИССИЯ РОССИИ Руководящий документ ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Настоящий руководящий документ устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Установленные термины обязательны для применения во всех видах документации. Для каждого понятия установлен один термин. Применение синонимов термина не допускается. Для отдельных терминов даны (в скобках) краткие формы, которые разрешается применять в случаях, исключающих возможность их различного толкования. Для справок приведены иностранные эквиваленты русских терминов на английском языке, а также алфавитные указатели терминов на русском и английском языках. 1. Термины и определения
334
Термин
Определение
1. Доступ к информации (Доступ) Access to information
Ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации
2. Правила разграничения доступа (ПРД) Security policy
Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа
3. Санкционированный доступ к информации Authorized access to information
Доступ к информации, не нарушающий правила разграничения доступа
Приложение 1 Термин
Определение
4. Несанкционированный доступ к информации (НСД) Unauthorized access to information
Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами Примечание. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем
5. Защита от несанкциониро- Предотвращение или существенное затрудванного доступа нение несанкционированного доступа (Защита от НСД) Protection from unauthorized | access 6. Субъект доступа (Субъект) Лицо или процесс, действия которого регламентируются правилами разграничения доступа Access subject 7. Объект доступа (Объект) Access object 8. Матрица доступа Access matrix
Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа | Таблица, отображающая правила разграниче: ния доступа
9. Уровень полномочий субъ- Совокупность прав доступа субъекта доступа екта доступа ; Subject privilege \ 10. Нарушитель правил разСубъект доступа, осуществляющий несанкграничения доступа ционированный доступ к информации (Нарушитель ПРД) Security policy violator ; 11. Модель нарушителя пра- Абстрактное (формализованное или нефорвил разграничения доступа мализованное) описание нарушителя правил (Модель нарушителя ПРД) разграничения доступа Security policy violator's : model 12. Комплекс средств защиты Совокупность программных и технических (КСЗ) средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной Trusted computing base техники или автоматизированных систем от несанкционированного доступа к информации 13. Система разграничения доступа (СРД) Security policy realization
Совокупность реализуемых правил разграни; чения доступа в средствах вычислительной техники или автоматизированных системах
335
Приложение 1 Термин
Определение
14. Идентификатор доступа Access identifier
Уникальный признак субъекта или объекта доступа
i 15. Идентификация Identification
ззв
Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов
16. Пароль Password
Идентификатор субъекта доступа, который является его (субъекта) секретом
17. Аутентификация Authentication
Проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности
18. Защищенное средство вычислительной техники (защищенная автоматизированная система) Trusted computer system
Средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты
19. Средство защиты от несанкционированного доступа (Средство защиты от НСД) Protection facility
Программное, техническое или программнотехническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа
20. Модель защиты Protection model
: Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа
21. Безопасность информации Information security
Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз
22. Целостность информации Information integrity
Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения)
23. Конфиденциальная информация Sensitive information
Информация, требующая защиты
24. Дискреционное управление доступом Discretionary access control
Разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту
Приложение 1 [ Термин
Определение
25. Мандатное управление доступом Mandatory access control
Разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности
26. Многоуровневая защита Multilevel security
Защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности
27. Концепция диспетчера доступа Reference monitor concept
Концепция управления доступом, относящаяся \ к абстрактной машине, которая посредничает i при всех обращениях субъектов к объектам
28. Диспетчер доступа (ядро защиты) Security kernel
Технические, программные и микропрограммные элементы комплекса средств защиты, pea- ; лизующие концепцию диспетчера доступа
29. Администратор защиты Security administrator
Субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации
30. Метка конфиденциальности (Метка) Sensitivity label
Элемент информации, который характеризует конфиденциальность информации, содержащейся в объекте
31. Верификация Verification
Процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем на надлежащее соответствие
32. Класс защищенности средств вычислительной техники, автоматизированной системы Protection class of computer systems
Определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации
33. Показатель защищенности средств вычислительной техники (Показатель защищенности) Protection criterion of computer systems
Характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности средств вычислительной техники
34. Система защиты секретной информации (СЗСИ) Secret information security system
Комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в автоматизированных системах
337
Приложение 1 Термин
Определение
35. Система защиты информации от несанкционированного доступа (СЗИ НСД) System of protection from unau(СЗИ НСДd access to information
Комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах
36. Средство криптографической защиты информации (СКЗИ) Cryptographic information protection facility
Средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности
37. Сертификат защиты (Сертификат) Protection certificate
Документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных
38. Сертификация уровня защиты (Сертификация) Protection level certification
Процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите
2. Алфавитный указатель терминов на русском языке № страницы
333
Администратор защиты Аутентификация Безопасность информации Верификация Дискреционное управление доступом Диспетчер доступа (ядро защиты) Доступ к информации Защита от несанкционированного доступа Защищенное средство вычислительной техники (защищенная автоматизированная система) Идентификатор доступа Идентификация Класс защищенности средств вычислительной техники автоматизированной системы Комплекс средств защиты Конфиденциальная информация Концепция диспетчера доступа Мандатное управление доступом Матрица доступа Метка конфиденциальности
29 17 21 31 24 28 1 5 18 14 15 32 12 23 27 25 8 30
Приложение 1 Многоуровневая защита Модель защиты Модель нарушителя правил разграничения доступа Нарушитель правил разграничения доступа '. Несанкционированный доступ к информации Объект доступа Пароль Показатель защищенности средств вычислительной техники Правила разграничения доступа Санкционированный доступ к информации Сертификат защиты Сертификация уровня защиты Система защиты информации от несанкционированного доступа Система защиты секретной информации Система разграничения доступа Средство защиты от несанкционированного доступа Средство криптографической защиты информации Субъект доступа Уровень полномочий субъекта доступа Целостность информации
3. Алфавитный указатель терминов на английском языке Access identifier Access matrix Access object Access subject Access to information Authorized access to information Authentication : Cryptographic information protection Discretionary access control Identification Information integrity Information security Mandatory access control Multilevel secureity Password Protection certificate Protection class of computer systems Protection criterion of computer systems Protection facility Protection from unauthorized access Protection level certification Protection model Reference monitor concept Secret information security system Security administrator
26 20 10 4 7 16 33 2 3 37 38 35 34 13 19 36 6 9 22
№ страницы
facility.
14 8 7 6 1 3 17 36 24 15 22 21 25 26 16 37 32 33 19 5 38 20 27 34 29
11
1 Security kernel 28 Security policy 2 Security policy realization 13 Security policy violator 10 Security policy violator's model 11 Sensitive information 23 Sensitivity label 30 Subject privilege 9 System of protection from unauthorized access to information 35 Trusted computing base 12 Trusted computer system 18 Unauthorized access to information 4 Verification 31
Приложение 2
Доктрина информационной безопасности Российской Федерации 19.09.2000 Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Настоящая Доктрина служит основой для: • формирования государственной политики в области обеспечения информационной безопасности Российской Федерации; • подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации; • разработки целевых программ обеспечения информационной безопасности Российской Федерации. Настоящая Доктрина развивает концепцию национальной безопасности Российской Федерации применительно к информационной сфере.
• ГЛАВА 1. Информационная безопасность Российской Федерации Статья 1. Национальные интересы Российской Федерации в информационной сфере и их обеспечение Современный этап развития общества характеризуется возрастающей ролью информационной сферы,
|
342
Приложение 2 представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать. Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность. Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России. Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
Приложение 2 На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности. Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере. Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны. Для достижения этого требуется: • повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа Российской Федерации; • усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научнотехнического и духовного потенциала Российской Федерации; • обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды; обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени; • укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации; 343
Приложение 2 • гарантировать свободу массовой информации и запрет цензуры; • не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды; • обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством. Вторая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам. Для достижения этого требуется: • укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан; • интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования. Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать
Приложение 2 проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлектронной и компьютерной промышленности. Для достижения этого требуется: • развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации; • развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов; • развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем; • обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи. Четвертая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России. В этих целях необходимо: • повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами; 345
Приложение I • интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью; • обеспечить защиту сведений, составляющих государственную тайну; • расширять международное сотрудничество Российской Федерации в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере. Статья 2. Виды угроз информационной безопасности Российской Федерации По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды: • угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России; • угрозы информационному обеспечению государственной политики Российской Федерации; • угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов; • угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России. Угрозами конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России могут являться: • принятие федеральными органами государственной власти, органами государственной власти
Приложение 2 субъектов Российской Федерации нормативных правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности; создание монополий на формирование, получение и распространение информации в Российской Федерации, в том числе с использованием телекоммуникационных систем; противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений; нерациональное, чрезмерное ограничение доступа к общественно необходимой информации; противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание; неисполнение федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями и гражданами требований федерального законодательства, регулирующего отношения в информационной сфере; неправомерное ограничение доступа граждан к открытым информационным ресурсам федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации; дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы; нарушение конституционных прав и свобод человека и гражданина в области массовой информации; вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур;
Приложение 2 • девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе; • снижение духовного, нравственного и творческого потенциала населения России, что существенно осложнит подготовку трудовых ресурсов для внедрения и использования новейших технологий, в том числе информационных; • манипулирование информацией (дезинформация, сокрытие или искажение информации). Угрозами информационному обеспечению государственной политики Российской Федерации могут являться: • монополизация информационного .рынка России, его отдельных секторов отечественными и зарубежными информационными структурами; • блокирование деятельйости государственных средств массовой информации по информированию российской и зарубежной аудитории; • низкая эффективность информационного обеспечения государственной политики Российской Федерации вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики. Угрозами развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов могут являться: • противодействие доступу Российской Федерации к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, а также создание условий для
Приложение 2 усиления технологической зависимости России в области современных информационных технологий; • закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам; • вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи; • увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности. Угрозами безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, могут являться: • противоправные сбор и использование информации; • нарушения технологии обработки информации; • внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия; • разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации; • уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи; • воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации; • компрометация ключей и средств криптографической защиты информации; • утечка информации по техническим каналам; • внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности; 348
Приложение 2 • уничтожение, повреждение, разрушение или хищение машинных и других носителей информации; • перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации; • использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры; • несанкционированный доступ к информации, находящейся в банках и базах данных; • нарушение законных ограничений на распространение информации. Статья 3. Источники угроз информационной безопасности Российской Федерации Источники угроз информационной безопасности Российской Федерации подразделяются на внешние и внутренние. К внешним источникам относятся: • деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере; • стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков; • обострение международной конкуренции за обладание информационными технологиями и ресурсами; • деятельность международных террористических организаций; • увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий; • деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств; • разработка рядом государств концепций информационных войн, предусматривающих создание
Приложение 2 средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним. К внутренним источникам относятся: критическое состояние отечественных отраслей промышленности; неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере; недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации по формированию и реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации; недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика; неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России; недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации; недостаточная экономическая мощь государства; снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности; недостаточная активность федеральных органов государственной власти, органов государственной
Приложение 2 власти субъектов Российской Федерации в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан; • отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан. Статья 4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению За последние годы в Российской Федерации реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности. Начато формирование базы правового обеспечения информационной безопасности. Приняты Закон Российской Федерации «О государственной тайне», Основы законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах, федеральные законы «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», ряд других законов, развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере. Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов Российской Федерации, на предприятиях, в учреждениях и организациях независимо от формы собственности. Развернуты работы по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти. Успешному решению вопросов обеспечения информационнои безопасности Российской Федерации способствуют государственная система защиты ин-
Приложение 2 формации, система защиты государственной тайны, системы лицензирования деятельности в области защиты государственной тайны и системы сертификации средств защиты информации. Вместе с тем анализ состояния информационной безопасности Российской Федерации показывает, что ее уровень не в полной мере соответствует потребностям общества и государства. Современные условия политического и социальноэкономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение. Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере приводят к серьезным негативным последствиям. Так, недостаточность нормативного правового регулирования отношений в области реализации возможностей конституционных ограничений свободы массовой информации в интересах защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороноспособности страны' и безопасности государства существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в информационной сфере. Несовершенное нормативное правовое регулирование отношений в области массовой информации затрудняет формирование на территории Российской Федерации конкурентоспособных российских информационных агентств и средств массовой информации. Необеспеченность прав граждан на доступ к информации, манипулирование информацией вызывают негативную реакцию населения, что в ряде случаев ведет к дестабилизации социально-политической обстановки в обществе. Закрепленные в Конституции Российской Федерации права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органа12 Безопасность
Приложение 2 ми государственной власти субъектов Российской Федерации, органами местного самоуправления данных о физических лицах (персональных данных). Нет четкости при проведении государственной политики в области формирования российского информационного пространства, развития системы массовой информации, организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка и деформации структуры международного информационного обмена. Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок. Ухудшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну. Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов. Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм, из-за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость Рос- сии от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения. В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно-телекоммуникационных систем, интеграцией отечественных инфор-
Приложение 2 мационных систем и международных информационных систем возросли угрозы применения «информационного оружия» против информационной инфраструктуры России. Работы по адекватному комплексному противодействию этим угрозам ведутся при недостаточной координации и слабом бюджетном финансировании. Недостаточное внимание уделяется развитию средств космической разведки и радиоэлектронной борьбы. Сложившееся положение дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения таких задач, как: • разработка основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики; • развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам; • разработка федеральных целевых программ обеспечения информационной безопасности Российской Федерации; • разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств; • совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации; • установление ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, 12*
:
Приложение
2
юридических лиц и граждан за соблюдение требований информационной безопасности; • координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, предприятий, учреждений и организаций независимо от формы собственности в области обеспечения информационной безопасности Российской Федерации; • развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения «информационного оружия»; • разработка и создание механизмов формирования и реализации государственной информационной политики России; • разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации; а обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники; • разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами; • развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны; • создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
Приложение 2 • расширение взаимодействия с международными и зарубежными органами и организациями при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи; • обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем; • создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.
• ГЛАВА 2. Методы обеспечения информационной безопасности Российской Федерации Статья 5. Общие методы обеспечения информационной безопасности Российской Федерации Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические. К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются: • внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательны-
Приложение I ми актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации; • законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан; • разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну; • уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России; • законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи; • определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций; • создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности. Организационно-техническими методами обеспечения информационной безопасности Российской Феде358 рации являются:
Приложение I создание и совершенствование системы обеспечения информационной безопасности Российской Федерации; усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере; разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения; создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи; выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации; сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации; совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности; контроль за действиями персонала в защищенных информационных системах, подготовка кадров в об- 359
Приложение 2 ласти обеспечения информационной безопасности Российской Федерации; • формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства. Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя: • разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования; • совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц. Статья 6. Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни Информационная безопасность Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства. Угрозы информационной безопасности Российской Федерации и методы ее обеспечения являются общими для этих сфер. В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности Российской Федерации. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности Российской Федерации могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние информационной безопасности Российской Федерации.
Приложение 2 В сфере экономики Обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации. Воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены: • система государственной статистики; • кредитно-финансовая система; • информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики; • системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности; • системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности. Переход к рыночным отношениям в экономике вызвал появление на внутреннем российском рынке товаров и услуг множества отечественных и зарубежных коммерческих структур — производителей и потребителей информации, средств информатизации и защиты информации. Бесконтрольная деятельность этих структур по созданию и защите систем сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации создает реальную угрозу безопасности России в экономической сфере. Аналогичные угрозы возникают при бесконтрольном привлечении иностранных фирм к созданию подобных систем, поскольку при этом складываются благоприятные условия для несанкционированного доступа к конфиденциальной экономической информации и для контроля за процессами ее передачи и обработки со стороны иностранных спецслужб. Критическое состояние предприятий национальных отраслей промышленности, разрабатывающих и 361
Приложение 2 производящих средства информатизации, телекоммуникации, связи и защиты информации, приводит к широкому использованию соответствующих импортных средств, что создает угрозу возникновения технологической зависимости России от иностранных государств. Серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций. Недостаточность нормативной правовой базы, определяющей ответственность хозяйствующих субъектов за недостоверность или сокрытие сведений об их коммерческой деятельности, о потребительских свойствах производимых ими товаров и услуг, о результатах их хозяйственной деятельности, об инвестициях и тому подобном препятствует нормальному функционированию хозяйствующих субъектов. В то же время существенный экономический ущерб хозяйствующим субъектам может быть нанесен вследствие разглашения информации, содержащей коммерческую тайну. В системах сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации наиболее опасны противоправное копирование информации и ее искажение вследствие преднамеренных или случайных нарушений технологии работы с информацией, несанкционированного доступа к ней. Это касается и федеральных органов исполнительной власти, занятых формированием и распространением информации о внешнеэкономической деятельности Российской Федерации. Основными мерами по обеспечению информационной безопасности Российской Федерации в сфере экономики являются: • организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации; • коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информа-
ции, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации, организацию контроля за деятельностью этих лиц и служб обработки и анализа статистической информации, а также путем ограничения коммерциализации такой информации; • разработка национальных сертифицированных средств защиты информации и внедрение их в системы и средства сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации; • разработка и внедрение национальных защищенных систем электронных платежей на базе интеллектуальных карт, систем электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативной правовой базы, регламентирующей их использование; • совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики; • совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации. В сфере внутренней политики Наиболее важными объектами обеспечения информационной безопасности Российской Федерации в сфере внутренней политики являются: • конституционные права и свободы человека и гражданина; • конституционный строй, национальное согласие, стабильность государственной власти, суверенитет и территориальная целостность Российской Федерации; • открытые информационные ресурсы федеральных органов исполнительной власти и средств массовой информации. Наибольшую опасность в сфере внутренней политики представляют следующие угрозы информационной безопасности Российской Федерации: • нарушение конституционных прав и свобод граждан, реализуемых в информационной сфере;
.
Приложение 2
• недостаточное правовое регулирование отношений в области прав различных политических сил на использование средств массовой информации для пропаганды своих идей; • распространение дезинформации о политике Российской Федерации, деятельности федеральных органов государственной власти, событиях, происходящих в стране и за рубежом; • деятельность общественных объединений, направленная на насильственное изменение основ конституционного строя и нарушение целостности Российской Федерации, разжигание социальной, расовой, национальной и религиозной вражды, на распространение этих идей в средствах массовой информации. Основными мероприятиями в области обеспечения информационной безопасности Российской Федерации в сфере внутренней политики являются: • создание системы противодействия монополизации отечественными и зарубежными структурами;. • активизация контрпропагандистской деятельности, направленной на предотвращение негативных последствий распространения дезинформации о внутренней политике России. В сфере внешней политики
364
К наиболее важным объектам обеспечения информационной безопасности Российской Федерации в сфере внешней политики относятся: • информационные ресурсы федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, российских представительств и организаций за рубежом, представительств Российской Федерации при международных организациях; • информационные ресурсы представительств федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, на территориях субъектов Российской Федерации; • информационные ресурсы российских предприятий, учреждений и организаций, подведомственных федеральным органам исполнительной влас-
2 ти, реализующим внешнюю политику Российской Федерации; • блокирование деятельности российских средств массовой информации по разъяснению зарубежной аудитории целей и основных направлений государственной политики Российской Федерации, ее мнения по социально значимым событиям российской и международной жизни. Из внешних угроз информационной безопасности Российской Федерации в сфере внешней политики наибольшую опасность представляют: • информационное воздействие иностранных политических, экономических, военных и информационных структур на разработку и реализацию стратегии внешней политики Российской Федерации; • распространение за рубежом дезинформации о внешней политике Российской Федерации; • нарушение прав российских граждан и юридических лиц в информационной сфере за рубежом; • попытки несанкционированного доступа к информации и воздействия на информационные ресурсы, информационную инфраструктуру федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, российских представительств и организаций за рубежом, представительств Российской Федерации при международных организациях. Из внутренних угроз информационной безопасности Российской Федерации в сфере внешней политики наибольшую опасность представляют: • нарушение установленного порядка сбора, обработки, хранения и передачи информации в федеральных органах исполнительной власти, реализующих внешнюю политику Российской Федерации, и на подведомственных им предприятиях, в учреждени, ях и организациях; • информационно-пропагандистская деятельность политических сил, общественных объединений, средств массовой информации и отдельных лиц, искажающая стратегию и тактику внешнеполитической деятельности Российской Федерации;
2 • недостаточная информированность населения о внешнеполитической деятельности Российской Федерации. Основными мероприятиями по обеспечению информационной безопасности Российской Федерации в сфере внешней политики являются: • разработка основных направлений государственной политики в области совершенствования информационного обеспечения внешнеполитического курса Российской Федерации; • разработка и реализация комплекса мер по усилению информационной безопасности информационной инфраструктуры федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, российских представительств и организаций за рубежом, представительств Российской Федерации при международных организациях; • создание российским представительствам и организациям за рубежом условий для работы по нейтрализации распространяемой там дезинформации о внешней политике Российской Федерации; • совершенствование информационного обеспечения работы по противодействию нарушениям прав и свобод российских граждан и юридических лиц За рубежом; • совершенствование информационного обеспечения субъектов Российской Федерации по вопросам внешнеполитической деятельности, которые входят в их компетенцию. В области науки и техники
Наиболее важными объектами обеспечения информационной безопасности Российской Федерации в области науки и техники являются: • результаты фундаментальных, поисковых и прикладных научных исследований, потенциально важные для научно-технического, технологического и социально-экономического развития страны, включая сведения, утрата которых может нанести ущерб национальным интересам и престижу Рос366 сийской Федерации;
2 • открытия, незапатентованные технологии, промышленные образцы, полезные модели и экспериментальное оборудование; • научно-технические кадры и система их подготовки; • системы управления сложными исследовательскими комплексами (ядерными реакторами, ускорителями элементарных частиц, плазменными генераторами и другими). К числу основных внешних угроз информационной безопасности Российской Федерации в области науки и техники следует отнести: • стремление развитых иностранных государств получить противоправный доступ к научно-техническим ресурсам России для использования полученных российскими учеными результатов в собственных интересах; • создание льготных условий на российском рынке для иностранной научно-технической продукции и стремление развитых стран в то же время ограничить развитие научно-технического потенциала России (скупка акций передовых предприятий с их последующим перепрофилированием, сохранение экспортно-импортных ограничений и тому подобное); • политику западных стран,.направленную на дальнейшее разрушение унаследованного от СССР единого научно-технического пространства государств-участников Содружества Независимых Государств за счет переориентации на западные страны их научно-технических связей, а также отдельных, наиболее перспективных научных коллективов; активизацию деятельности иностранных государственных и коммерческих предприятий, учреждений и организаций в области промышленного шпионажа с привлечением к ней разведывательных и специальных служб. К числу основных внутренних угроз информационной безопасности Российской Федерации в области науки и техники следует отнести: • сохраняющуюся сложную экономическую ситуацию в России, ведущую к резкому снижению фи-
367
Приложение 2 нансирования научно-технической деятельности, временному падению престижа научно-технической сферы, утечке за рубеж идей и передовых разработок; • неспособность предприятий национальных отраслей электронной промышленности производить на базе новейших достижений микроэлектроники, передовых информационных технологий конкурентоспособную наукоемкую продукцию, позволяющую обеспечить достаточный уровень технологической независимости России от зарубежных стран, что приводит к вынужденному широкому использованию импортных программно-аппаратных средств при создании и развитии в России информационной инфраструктуры; • серьезные проблемы в области патентной защиты результатов научно-технической деятельности российских ученых; • сложности реализации мероприятий по защите информации, особенно на акционированных предприятиях, в научно-технических учреждениях и организациях. Реальный путь противодействия угрозам информационной безопасности Российской Федерации в области науки и техники — это совершенствование законодательства Российской Федерации, регулирующего отношения в данной области, и механизмов его реализации. В этих целях государство должно способствовать созданию системы оценки возможного ущерба от реализации угроз наиболее важным объектам обеспечения информационной безопасности Российской Федерации в области науки и техники, включая общественные научные советы и организации независимой экспертизы, вырабатывающие рекомендации для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации по предотвращению противоправного или неэффективного использования интеллектуального потенциала России. В сфере духовной жизни Обеспечение информационной безопасности Российской Федерации в сфере духовной жизни имеет
Приложение 2 целью защиту конституционных прав и свобод человека и гражданина, связанных с развитием, формированием и поведением личности, свободой массового информирования, использования культурного, духовнонравственного наследия, исторических традиций и норм общественной жизни, с сохранением культурного достояния всех народов России, реализацией конституционных ограничений прав и свобод человека и гражданина в интересах сохранения и укрепления нравственных ценностей общества, традиций патриотизма и гуманизма, здоровья граждан, культурного и научного потенциала Российской Федерации, обеспечения обороноспособности и безопасности государства. К числу основных объектов обеспечения информационной безопасности Российской Федерации в сфере духовной жизни относятся: • достоинство личности, свобода совести, включая право свободно выбирать, иметь и распространять религиозные и иные убеждения и действовать в соответствии с ними, свобода мысли и слова (за исключением пропаганды или агитации, возбуждающих социальную, расовую, национальную или религиозную ненависть и вражду), а также свобода литературного, художественного, научного, технического и других видов творчества, преподавания; • свобода массовой информации; • неприкосновенность частной жизни, личная и семейная тайна; • русский язык как фактор духовного единения народов многонациональной России, язык межгосударственного общения народов государств-участников Содружества Независимых Государств; • языки, нравственные ценности и культурное наследие народов и народностей Российской Федерации; • объекты интеллектуальной собственности. Наибольшую опасность в сфере духовной жизни представляют следующие угрозы информационной безопасности Российской Федерации: • деформация системы массового информирования как за счет монополизации средств массовой ин- 363
Приложение 2 формации, так и за счет неконтролируемого расширения сектора зарубежных средств массовой информации в отечественном информационном пространстве; • ухудшение состояния и постепенный упадок объектов российского культурного наследия, включая архивы, музейные фонды, библиотеки, памятники архитектуры, ввиду недостаточного финансирования соответствующих программ и мероприятий; • возможность нарушения общественной стабильности, нанесение вреда здоровью и жизни граждан вследствие деятельности религиозных объединений, проповедующих религиозный фундаментализм, а также тоталитарных религиозных сект; • использование зарубежными специальными службами средств массовой информации, действующих на территории Российской Федерации, для нанесения ущерба обороноспособности страны и безопасности государства, распространения-дезинформации; • неспособность современного гражданского общества России обеспечить формирование у подрастающего поколения и поддержание в обществе общественно необходимых нравственных ценностей, патриотизма и гражданской ответственности за судьбу страны. Основными направлениями обеспечения информационной безопасности Российской Федерации в сфере духовной жизни являются: • развитие в России основ гражданского общества; • создание социально-экономических условий для осуществления творческой деятельности и функционирования учреждений культуры; • выработка цивилизованных форм и способов общественного контроля за формированием в обществе духовных ценностей, отвечающих национальным интересам страны, воспитанием патриотизма и гражданской ответственности за ее судьбу; • совершенствование законодательства Российской Федерации, регулирующего отношения в области конституционных ограничений прав и свобод че370 ловека и гражданина;
Приложение 2 • государственная поддержка мероприятий по сохранению и возрождению культурного» наследия народов и народностей Российской Федерации; • формирование правовых и организационных механизмов обеспечения конституционных прав и свобод граждан, повышения их правовой культуры в интересах противодействия сознательному или непреднамеренному нарушению этих конституционных прав и свобод в сфере духовной жизни; • разработка действенных организационно-правовых механизмов доступа средств массовой информации и граждан к открытой информации о деятельности федеральных органов государственной власти и общественных объединений, обеспечение достоверности сведений о социально значимых событиях общественной жизни, распространяемых через средства массовой информации; • разработка специальных правовых и организационных механизмов недопущения противоправных информационно-психологических воздействий на массовое сознание общества, неконтролируемой коммерциализации культуры и науки, а также обеспечивающих сохранение культурных и исторических ценностей народов и народностей Российской Федерации, рациональное использование накопленных обществом информационных ресурсов, составляющих национальное достояние; • введение запрета на использование эфирного времени в электронных средствах массовой информации для проката программ, пропагандирующих насилие и жестокость, антиобщественное поведение; • противодействие негативному влиянию иностранных религиозных организаций и миссионеров. В общегосударственных информационных и телекоммуникационных системах Основными объектами обеспечения информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются: • информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, и конфиденциальную информацию; 371
Приложение 2 • средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля; • технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации; • помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа. Основными угрозами информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются: • деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных и телекоммуникационных систем; • вынужденное в силу объективного отставания отечественной промышленности использование при создании и развитии информационных и телекоммуникационных систем импортных программноаппаратных средств; • нарушение установленного регламента сбора, обработки и передачи информации, преднамеренные действия и ошибки персонала информационных и телекоммуникационных систем, отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах; • использование несертифицированных в соответ3/2 ствии с требованиями безопасности средств и сие-
Приложение 2 тем информатизации и связи, а также средств защиты информации и контроля их эффективности; • привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности. Основными направлениями обеспечения информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются: • предотвращение перехвата информации из помещений и с объектов, а также информации, передаваемой по каналам связи с помощью технических средств; • исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации; • предотвращение утечки информации по техническим каналам, возникающей при эксплуатации технических средств ее обработки, хранения и передачи; • предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; • обеспечение информационной безопасности при подключении общегосударственных информационных и телекоммуникационных систем к внешним информационным сетям, включая международные; • обеспечение безопасности конфиденциальной информации при взаимодействии информационных и телекоммуникационных систем различных классов защищенности; • выявление внедренных на объекты и в технические средства электронных устройств перехвата информации. Основными организационно-техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникационных системах являются: • лицензирование деятельности организаций в области защиты информации;
Приложение 2 • аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну; • сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи; • введение территориальных, частотных, энергетических, пространственных и временных ограничений в, режимах использования технических средств, подлежащих защите; • создание и применение информационных и автоматизированных систем управления в защищенном исполнении. В сфере обороны К объектам обеспечения информационной безопасности Российской Федерации в сфере обороны относятся: • информационная инфраструктура центральных органов военного управления и органов военного управления видов Вооруженных Сил Российской Федерации и родов войск, объединений, соединений, воинских частей и организаций, входящих в Вооруженные Силы Российской Федерации, научно-исследовательских учреждений Министерства обороны Российской Федерации; • информационные ресурсы предприятий оборонного комплекса и научно-исследовательских учреждений, выполняющих государственные оборонные заказы либо занимающихся оборонной проблематикой; • программно-технические средства автоматизированных и автоматических систем управления войсками и оружием, вооружения и военной техники, оснащенных средствами информатизации; • информационные ресурсы, системы связи и информационная инфраструктура других войск, воинских формирований и органов. Внешними угрозами, представляющими наибольшую опасность для объектов обеспечения информационной безопасности Российской Федерации в сфере обороны, являются:
Приложение 2 • все виды разведывательной деятельности зарубежных государств; • информационно-технические воздействия (в том числе радиоэлектронная борьба, проникновение в компьютерные сети) со стороны вероятных противников; • диверсионно-подрывная деятельность специальных служб иностранных государств, осуществляемая методами информационно-психологического воздействия; • деятельность иностранных политических, экономических и военных структур, направленная против интересов Российской Федерации в сфере обороны. Внутренними угрозами, представляющими наибольшую опасность для указанных объектов, являются: • нарушение установленного регламента сбора, обработки, хранения и передачи информации, находящейся в штабах и учреждениях Министерства обороны Российской Федерации, на предприятиях оборонного комплекса; • преднамеренные действия, а также ошибки персонала информационных и телекоммуникационных систем специального назначения; • ненадежное функционирование информационных и телекоммуникационных систем специального назначения; • возможная информационно-пропагандистская деятельность, подрывающая престиж Вооруженных Сил Российской Федерации и их боеготовность; • нерешенность вопросов защиты интеллектуальной собственности предприятий оборонного комплекса, приводящая к утечке за рубеж ценнейших государственных информационных ресурсов; • нерешенность вопросов социальной защиты военнослужащих и членов их семей. Перечисленные внутренние угрозы будут представлять особую опасность в условиях обострения военно-политической обстановки. Главными специфическими направлениями совершенствования системы обеспечения информационной безопасности Российской Федерации в сфере обороны являются:
|
Приложение 2 • систематическое выявление угроз и их источников, структуризация целей обеспечения информационной безопасности в сфере обороны и определение соответствующих практических задач; • проведение сертификации общего и специального программного обеспечения, пакетов прикладных программ и средств защиты информации в существующих и создаваемых автоматизированных системах управления военного назначения и системах связи, имеющих в своем составе элементы вычислительной техники; • постоянное совершенствование средств защиты информации от несанкционированного доступа, развитие защищенных систем связи и управления войсками и оружием, повышение надежности специального программного обеспечения; • совершенствование структуры функциональных органов системы обеспечения информационной безопасности в сфере обороны и координация их взаимодействия; • совершенствование приемов и способов стратегической и оперативной маскировки, разведки и радиоэлектронной борьбы, методов и средств активного противодействия информационно-пропагандистским и психологическим операциям вероятного противника; • подготовка специалистов в области обеспечения информационной безопасности в сфере обороны. В правоохранительной и судебной сферах К наиболее важным объектам обеспечения информационной безопасности в правоохранительной и судебной сферах относятся: • информационные ресурсы федеральных органов исполнительной власти, реализующих правоохранительные функции, судебных органов, их информационно-вычислительных центров, научно-исследовательских учреждений и учебных заведений, содержащие специальные сведения и оперативные данные служебного характера; • информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;
Приложение 2 • информационная инфраструктура (информационно-вычислительные сети, пункты управления, узлы и линии связи). Внешними угрозами, представляющими наибольшую опасность для объектов обеспечения информационной безопасности в правоохранительной и судебной сферах, являются: • разведывательная деятельность специальных служб иностранных государств, международных преступных сообществ, организаций и групп, связанная со сбором сведений, раскрывающих задачи, планы деятельности, техническое оснащение, методы работы и места дислокации специальных подразделений и органов внутренних дел Российской Федерации; • деятельность иностранных государственных и частных коммерческих структур, стремящихся получить несанкционированный доступ к информационным ресурсам правоохранительных и судебных органов. Внутренними угрозами, представляющими наибольшую опасность для указанных объектов, являются: • нарушение установленного регламента сбора, обработки, хранения и передачи информации, содержащейся в картотеках и автоматизированных банках данных и использующейся для расследования преступлений; • недостаточность законодательного и нормативного регулирования информационного обмена в правоохранительной и судебной сферах; • отсутствие единой методологии сбора, обработки и хранения информации оперативно-разыскного, справочного, криминалистического и статистического характера; • отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах; • преднамеренные действия, а также ошибки персонала, непосредственно занятого формированием и ведением картотек и автоматизированных банков данных.
377
2 Наряду с широко используемыми общими методами и средствами защиты информации применяются также специфические методы и средства обеспечения информационной безопасности в правоохранительной и судебной сферах. Главными из них являются: • создание защищенной многоуровневой системы интегрированных банков данных оперативно-разыскного, справочного, криминалистического и статистического характера на базе специализированных информационно-телекоммуникационных систем; • повышение уровня профессиональной и специальной подготовки пользователей информационных систем. В условиях чрезвычайных ситуаций Наиболее уязвимыми объектами обеспечения информационной безопасности Российской Федерации в условиях чрезвычайных ситуаций является система принятия решений по оперативным действиям (реакциям) , связанным с развитием таких ситуаций и ходом ликвидации их последствий, а также система сбора и обработки информации о возможном возникновении чрезвычайных ситуаций. Особое значение для нормального функционирования указанных объектов имеет обеспечение безопасности информационной инфраструктуры страны при авариях, катастрофах и стихийных бедствиях. Сокрытие, задержка поступления, искажение и разрушение оперативной информации, несанкционированный доступ к ней отдельных лиц или групп лиц могут привести как к человеческим жертвам, так и к возникновению разного рода сложностей при ликвидации последствий чрезвычайной ситуации, связанных с особенностями информационного воздействия в экстремальных условиях: к приведению в движение больших масс людей, испытывающих психический стресс; к быстрому возникновению и распространению среди них паники и беспорядков на основе слухов, ложной или недостоверной информации. К специфическим для данных условий направлениям обеспечения информационной безопасности относятся:
ПРИЛОЖЕНИЕ 2
• разработка эффективной системы мониторинга объектов повышенной опасности, нарушение функционирования которых может привести к возникновению чрезвычайных ситуаций, и прогнозирования чрезвычайных ситуаций; • совершенствование системы информирования населения об угрозах возникновения чрезвычайных ситуаций, об условиях их возникновения и развития; • повышение надежности систем обработки и передачи информации, обеспечивающих деятельность федеральных органов исполнительной власти; • прогнозирование поведения населения под воздействием ложной или недостоверной информации о возможных чрезвычайных ситуациях и выработка мер по оказанию помощи большим массам людей в условиях этих ситуаций; • разработка специальных мер по защите информационных систем, обеспечивающих управление экологлчески опасными и экономически важными производствами. Статья 7. Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности — неотъемлемая составляющая политического, военного, экономического, культурного и других видов взаимодействия стран, входящих в мировое сообщество. Такое сотрудничество должно способствовать повышению информационной безопасности всех членов мирового сообщества, включая Российскую Федерацию. Особенность международного сотрудничества Российской Федерации в области обеспечения информационной безопасности состоит в том, что оно осуществляется в условиях обострения международной конкуренции за обладание технологическими и информационными ресурсами, за доминирование на рынках сбыта, в условиях продолжения попыток создания структуры международных отношений, основанной на односторонних решениях ключевых проблем мировой политики, противодействия укреплению роли России
Приложение 2 как одного из влиятельных центров формирующегося многополярного мира, усиления технологического отрыва ведущих держав мира и наращивания их возможностей для создания «информационного оружия». Все это может привести к новому этапу развертывания . гонки вооружений в информационной сфере, нарастанию угрозы агентурного и оперативно-технического проникновения в Россию иностранных разведок, в том числе с использованием глобальной информационной инфраструктуры. Основными направлениями международного сотрудничества Российской Федерации в области обеспечения информационной безопасности являются: • запрещение разработки, распространения и применения «информационного оружия»; • обеспечение безопасности международного информационного обмена, в том числе сохранности информации при ее передаче по национальным телекоммуникационным каналам и каналам связи; • координация деятельности правоохранительных органов стран, входящих в мировое сообщество, по предотвращению компьютерных преступлений; • предотвращение несанкционированного доступа к конфиденциальной информации в международных банковских телекоммуникационных сетях и системах информационного обеспечения мировой торговли по наформации международных правоохранительных организаций, ведущих борьбу с транснациональной организованной преступностью, международным терроризмом, распространением наркотиков и психотропных веществ, незаконной торговлей оружием и расщепляющимися материалами, а также торговлей людьми. При осуществлении международного сотрудничества Российской Федерации в области обеспечения информационной безопасности особое внимание должно уделяться проблемам взаимодействия с государствами-участниками Содружества Независимых Государств. Для осуществления этого сотрудничества по указанным основным направлениям необходимо обеспечить активное участие России во всех международных
Приложение 2 организациях, осуществляющих деятельность в области информационной безопасности, в том числе в сфере стандартизации и сертификации средств информатизации и защиты информации.
• ГЛАВА 3. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по ее реализации Статья 8. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации Государственная политика обеспечения информационной безопасности Российской Федерации определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей по защите интересов Российской Федерации в информационной сфере в рамках направлений их деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере. Государственная политика обеспечения информационной безопасности Российской Федерации основывается на следующих основных принципах: • соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности российской федерации; • открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации; 381
2 • правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом; • приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации. Государство в процессе реализации своих функций по обеспечению информационной безопасности Российской Федерации: • проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению; • организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации; • поддерживает деятельность общественных объединений,.направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации; • осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации; • проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по за-
Приложение 2 щите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов; • способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям; • формулирует и реализует государственную информационную политику России; • организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области; • способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства. Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации. Это предполагает: • оценку эффективности применения действующих законодательных и иных нормативных правовых актов в информационной сфере и выработку программы их совершенствования; • создание организационно-правовых механизмов обеспечения информационной безопасности; • определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем, и установление их ответственности за соблюдение законодательства Российской Федерации в данной сфере; • создание системы сбора и анализа данных об источниках угроз информационной безопасности Российской Федерации, а также о последствиях их осуществления; • разработку нормативных правовых актов, определяющих организацию следствия и процедуру су-
2 дебного разбирательства по фактам противоправных действий в информационной сфере, а также порядок ликвидации последствий этих противоправных действий; • разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности и включение соответствующих правовых норм в уголовный, гражданский, административный и трудовой кодексы, в законодательство Российской Федерации о государственной службе; • совершенствование системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации. Правовое обеспечение информационной безопасности Российской Федерации должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере. Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере. Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности. Разработка механизмов правового обеспечения информационной безопасности Российской Федерации включает в себя мероприятия по информатизации 384 правовой сферы в целом.
Приложение 2
'
В целях выявления и согласования интересов федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и других субъектов отношений в информационной сфере, выработки необходимых решений государство поддерживает формирование общественных советов, комитетов и комиссий с широким представительством общественных объединений и содействует организации их эффективной работы. Статья 9. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации Первоочередными мероприятиями по реализации государственной политики обеспечения информационной безопасности Российской Федерации являются: • разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности Российской Федерации; • разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики; • принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, повышение правовой культуры и компьютерной грамотности граждан, развитие инфраструктуры единого информационного пространства России, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной 13 Безопасность
Приложение 2 власти субъектов Российской Федерации, обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения; развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации; гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения.
• ГЛАВА 4. Организационная основа системы обеспечения информационной безопасности Российской Федерации Статья 10. Основные функции системы обеспечения информационной безопасности Российской Федерации Система обеспечения информационной безопасности Российской Федерации предназначена для реализации государственной политики в данной сфере. Основными функциями системы обеспечения информационной безопасности Российской Федерации являются: • разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации; • создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере; • определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации; • оценка состояния информационной безопасности З86 Российской Федерации, выявление источников
Приложение 2 внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз; координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации; контроль деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, государственных и межведомственных комиссий, участвующих в решении задач обеспечения информационной безопасности Российской Федерации; предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области; развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке; организация разработки федеральной и региональных программ обеспечения информационной безопасности и координация деятельности по их реализации; проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации; организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации; защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса; обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в дан13*
Приложение 2 ной сфере и сертификации средств защиты информации; • совершенствование и развитие единой системы подготовки кадров, используемых в области информационной безопасности Российской Федерации; • осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях. Компетенция федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации. Функции органов, координирующих деятельность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации. Статья 11. Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации Система обеспечения информационной безопасности Российской Федерации является частью системы обеспечения национальной безопасности страны. Система обеспечения информационной безопасности Российской Федерации строится на основе разграничения полномочий органов законодательной, исполнительной и судебной власти в данной сфере, а также предметов ведения федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Основными элементами организационной основы системы обеспечения информационной безопасности
Приложение 2 Российской Федерации являются: Президент Российской Федерации, Совет Федерации Федерального Собрания Российской Федерации, Государственная Дума Федерального Собрания Российской Федерации, Правительство Российской Федерации, Совет Безопасности Российской Федерации, федеральные органы исполнительной власти, межведомственные и государственные комиссии, создаваемые Президентом Российской Федерации и Правительством Российской Федерации, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, органы судебной власти, общественные объединения, граждане, принимающие в соответствии с законодательством Российской Федерации участие в решении задач обеспечения информационной безопасности Российской Федерации. Президент Российской Федерации руководит в пределах своих конституционных полномочий органами и силами по обеспечению информационной безопасности Российской Федерации; санкционирует действия по обеспечению информационной безопасности Российской Федерации; в соответствии с законодательством Российской Федерации формирует, реорганизует и упраздняет подчиненные ему органы и силы по обеспечению информационной безопасности Российской Федерации; определяет в своих ежегодных посланиях Федеральному Собранию приоритетные направления государственной политики в области обеспечения информационной безопасности Российской Федерации, а также меры по реализации настоящей Доктрины. Палаты Федерального Собрания Российской Федерации на основе Конституции Российской Федерации по представлению Президента Российской Федерации и Правительства Российской Федерации формируют законодательную базу в области обеспечения информационной безопасности Российской Федерации. Правительство Российской Федерации в пределах своих полномочий и с учетом сформулированных в ежегодных посланиях Президента Российской Федерации Федеральному Собранию приоритетных направлений в области обеспечения информационной безопасности Российской Федерации координирует деятельность федеральных органов исполнительной
Приложение 2 власти и органов исполнительной власти субъектов Российской Федерации, а также при формировании в установленном порядке проектов федерального бюджета на соответствующие годы предусматривает выделение средств, необходимых для реализации федеральных программ в этой области, Совет Безопасности Российской Федерации проводит работу по выявлению и оценке угроз информационной безопасности Российской Федерации, оперативно подготавливает проекты решений Президента Российской Федерации по предотвращению таких угроз, разрабатывает предложения в области обеспечения информационной безопасности Российской Федерации, а также предложения по уточнению отдельных положений настоящей Доктрины, координирует деятельность органов и сил по обеспечению информационной безопасности Российской Федерации, контролирует реализацию федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации решений Президента Российской Федерации в этой области. Федеральные органы исполнительной власти обеспечивают исполнение законодательства Российской Федерации, решений Президента Российской Федерации и Правительства Российской Федерации в области обеспечения информационной безопасности Российской Федерации; в пределах своей компетенции разрабатывают нормативные правовые акты в этой области и представляют их в установленном порядке Президенту Российской Федерации и в Правительство Российской Федерации. Межведомственные и государственные комиссии, создаваемые Президентом Российской Федерации и Правительством Российской Федерации, решают в соответствии с предоставленными им полномочиями задачи обеспечения информационной безопасности Российской Федерации. Органы исполнительной власти субъектов Российской Федерации взаимодействуют с федеральными органами исполнительной власти по вопросам исполнения законодательства Российской Федерации, решений Президента Российской Федерации и Правительства Российской Федерации в области обеспечения
Приложение 2 информационной безопасности Российской Федерации, а также по вопросам реализации федеральных программ в этой области; совместно с органами местного самоуправления осуществляют мероприятия по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем обеспечения информационной безопасности Российской Федерации; вносят в федеральные органы исполнительной власти предложения по совершенствованию системы обеспечения информационной безопасности Российской Федерации. Органы местного самоуправления обеспечивают соблюдение законодательства Российской Федерации в области обеспечения информационной безопасности Российской Федерации. Органы судебной власти осуществляют правосудие по делам о преступлениях, связанных с посягательствами на законные интересы личности, общества и государства в информационной сфере, и обеспечивают судебную защиту граждан и общественных объединений, чьи права были нарушены в связи с деятельностью по обеспечению информационной безопасности Российской Федерации. В состав системы обеспечения информационной безопасности Российской Федерации могут входить подсистемы (системы), ориентированные на решение локальных задач в данной сфере. Реализация первоочередных мероприятий по обеспечению информационной безопасности Российской Федерации, перечисленных в настоящей Доктрине, предполагает разработку соответствующей федеральной программы. Конкретизация некоторых положений настоящей Доктрины применительно к отдельным сферам деятельности общества и государства может быть осуществлена в соответствующих документах, утверждаемых Президентом Российской Федерации.
Приложение 3
Перечень сведений, отнесенных к государственной тайне УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ О перечне сведений, отнесенных к государственной тайне В связи с совершенствованием структуры федеральных органов исполнительной власти постановляю: Изложить перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203 (Собрание законодательства Российской Федерации, 1995, № 49, ст. 4775), в новой-редакции (прилагается). Президент Российской Федерации Б. ЕЛЬЦИН Москва, Кремль 24 января 1998 года №61
1. Общие положения 1. Перечень сведений, отнесенных к государственной тайне, содержит сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативнорозыскной деятельности государства, распространение которых может нанести ущерб безопасности Российской Федерации, а также наименования федеральных органов исполнительной власти и других организаций 382 (далее именуются — государственные органы), наде-
Приляжет 3 ленных полномочиями по распоряжению этими сведениями. Каждый из указанных в настоящем перечне государственных органов наделяется полномочиями по распоряжению сведениями отраслевой (ведомственной) принадлежности в рамках его компетенции, определенной положением о конкретном государственном органе, а также сведениями других собственников информации соответствующей тематической направленности по их представлению. Настоящий перечень пересматривается по мере необходимости. 2. В настоящем перечне применяются следующие понятия: • «специальные объекты» — пункты управления государством и Вооруженными Силами Российской Федерации, а также другие объекты, обеспечивающие функционирование федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации в военное время; • «военные объекты» — боевые позиции войск, пункты управления, полигоны, узлы связи, базы, склады и другие сооружения военного назначения; • «режимные объекты» — военные и специальные объекты, воинские части, предприятия, организации, учреждения, для функционирования которых установлены дополнительные меры безопасности; • «предприятия и организации» — юридические лица независимо от форм собственности, создаваемые в соответствии.с законодательством Российской Федерации, а также их филиалы и представительства; • «войска» — Вооруженные Силы Российской Федерации, другие войска, воинские формирования, органы и создаваемые на военное время специальные формирования, предусмотренные Федеральным законом «Об обороне»; • «вооружение» — средства, предназначенные для поражения живой силы, техники, сооружений и других объектов противника, составные части этих средств и комплектующие изделия; • «военная техника» — технические средства, предназначенные для боевого, технического и тылового обеспечения деятельности войск, а также обо- 393
Приложение 3 рудование и аппаратура для контроля и испытаний этих средств, составные части этих средств и комплектующие изделия; • «объекты оборонной промышленности» — предприятия по разработке, производству и ремонту вооружения, военной техники или снаряжения; • «оружие массового поражения» — ядерное, химическое, биологическое или иное оружие большой поражающей способности, применение которого вызывает массовые потери и (или) разрушения. 3. В настоящем перечне применяется сокращение: ГУСП — Главное управление специальных программ Президента Российской Федерации. 4. В позициях 59, 60, 68 и 69 настоящего перечня указаны государственные органы, руководители которых наделены полномочиями по отнесению сведений к государственной тайне.
• 2. Сведения в военной области 1. Сведения, раскрывающие стратегические планы применения войск, оперативные планы, документы боевого управления, документы по приведению войск в различные степени боевой готовности МВД России, Минобороны России, МЧС России, ФАПСИ, ФПС России*. 2. Сведения о стратегическом и оперативном развертывании войск МВД России, Минобороны России, МЧС России, ФАПСИ, ФПС России, Администрация Президента Российской Федерации. 3. Сведения о планах строительства, развитии, численности, боевом составе или количестве войск, их боевой готовности, а также о военно-политической и (или) оперативной обстановке МВД России, Минобороны России, МЧС России, ФАПСИ, ФПС России, Администрация Президента Российской Федерации. * Полужирным шрифтом выделены государственные органы, наделенные полномочиями по распоряжению сведениями, отнесенными к государственной тайне. — Ред.
Приложение 3 4. Сведения, раскрывающие состояние оперативной (боевой) подготовки войск, обеспеченность их деятельности, состав и (или) состояние систем управления войсками МВД России, Минобороны России, ФАПСИ, ФПС России, МЧС России. 5. Сведения о мобилизационном развертывании войск, их мобилизационной готовности, о создании и использовании мобилизационных ресурсов, системе управления мобилизационным развертыванием и (или) о возможностях комплектования войск личным составом, обеспечения вооружением, военной техникой и другими материальными, финансовыми средствами, а также воинскими перевозками МВД России, Минобороны России, МЧС России, ФАПСИ, ФПС России, Администрация Президента Российской Федерации. 6. Сведения, раскрывающие направления, долгосрочные прогнозы или планы развития вооружения и военной техники, содержание или результаты выполнения целевых программ, научно-исследовательских, опытно-конструкторских работ по созданию или модернизации образцов вооружения и военной техники, их тактикотехнические характеристики Минатом России, МВД России, Минздрав России, Минобороны России, Минобразования России, МПС России, Минтопэнерго России, Минтранс России, МЧС России, Минэкономики России, Росгидромет, ФПС России, ФСБ России, ФСО России, РКА. 7. Сведения, раскрывающие направления разработки, конструкцию, технологию изготовления, изотопный состав, боевые, физические, химические или ядерные свойства, порядок применения или эксплуатации вооружения и военной техники Минатом России, МВД России, Минздрав России, Минобороны России, Минобразования России, Минтопэнерго России, Минтранс России, МЧС России, Минэкономики России, Росгидромет, ФПС России, ФСБ России, РКА. 8. Сведения, раскрывающие производственные мощности, плановые или фактические данные о выпуске и (или) поставках (в натуральном выражении) средств бактериальной или медицинской защиты
Приложение 3 Минздрав России, Минобороны России, Минобразования России, Минэкономики России. 9. Сведения о разработке, технологии, производстве, об объемах производства, о хранении и (или) утилизации ядерных боеприпасов и (или) их составных частей, делящихся материалов ядерных энергетических установок, специальных физических установок оборонного назначения, о технических средствах и (или) методах защиты ядерных боеприпасов от несанкционированного применения Минатом России, Минобороны России, Минэкономики России. Сведения, раскрывающие содержание ранее осуществлявшихся работ в области оружия массового поражения, достигнутые при этом результаты, а также сведения о составе образца и (или) рецептуре, технологии производства или снаряжении изделий Минатом России, Минздрав России, Минобороны России, Минэкономики России, ФСБ России. 10. Сведения о проектировании, сооружении, эксплуатации или обеспечении безопасности объектов ядерного комплекса Минатом России, МВД России, Минздрав России, Минобороны России, Минэкономики России. 11. Сведения, раскрывающие достижения атомной науки и техники, имеющие важное оборонное и экономическое значение или определяющие качественно новый уровень возможности создания вооружения и военной техники и (или) принципиально новых изделий и технологий Минатом России, Минобороны России, Минэкономики России. 12. Сведения, раскрывающие свойства, рецептуру или технологию производства ракетных топлив, а также баллиститных порохов, взрывчатых веществ или средств взрывания военного назначения, а также новых сплавов, спецжидкостей, новых топлив для вооружения и военной техники Минобороны России, Минобразования России, Минэкономики России. 13. Сведения, раскрывающие дислокацию, действительные наименования, организационную структу-
Приложение 3 ру, вооружение, численность войск, не подлежащие открытому объявлению в соответствии с международными обязательствами Российской Федерации Минатом России, МВД России, Минобороны России, МПС России, МЧС России, ФАПСИ, ФПС России. 14. Сведения об использовании инфраструктуры Российской Федерации в интересах обеспечения обороноспособности и безопасности государства МВД России, Минздрав России, Минобороны России, МПС России, Минсельхозпрод России, Минтопэнерго России, Минтранс России, МЧС России, Минэкономики России, ФСБ России, ФПС России, ГУСП, Администрация Президента Российской Федерации. ,, 15. Сведения о дислокации, назначении, степени готовности или защищенности режимных объектов, не подпадающие под обязательства Российской Федерации по международным договорам, о выборе, отводе земельных участков, недр или акваторий для строительства указанных объектов, а также о планируемых или проводимых изыскательских, проектных и иных работах по созданию этих объектов Минатом России, МВД России, Минобороны России, МПР России, МЧС России, Минэкономики России, ФСБ России, ФСО России, Госкомзем России, Госкомэкологии России. Те же сведения применительно к специальным объектам органов государственной власти ГУСП. 16. Сведения об использовании или перспективах развития взаимоувязанной сети связи Российской Федерации в интересах обеспечения обороноспособности и безопасности государства МВД России, Минобороны России, Госкомсвязи России, ФСБ России, ФАПСИ, ФСО России. 17. Сведения, раскрывающие распределение или использование полос радиочастот радиоэлектронными средствами военного или специального назначения МВД России, Минобороны России, Госкомсвязи России, ФСБ России, ФАПСИ, ФСО России. 18. Сведения, раскрывающие организацию или функционирование всех видов связи, радиолокационного, радиотехнического обеспечения войск 33/
Приложение 3 МВД России, Минобороны России, ФАПСИ, ФПС России. 19. Сведения, раскрывающие содержание, организацию или результаты основных видов деятельности органов пограничной службы ФПС России, построение охраны государственной границы Российской Федерации, исключительной экономической зоны и континентального шельфа Российской Федерации или государств-участников СНГ ФПС России. 20. Сведения, раскрывающие направления развития средств, технологий двойного назначения, содержание, результаты выцолнения целевых программ, научно-исследовательских и (или) опытно-конструкторских работ по созданию или модернизации этих средств, технологий. Сведения о применении в военных целях средств, технологий двойного назначения Минатом России, МВД России, Минобороны Рос-. сии, Минобразования России, Минэкономики России, Госкомсвязи России, ФАПСИ, ФСБ России, ФСО России, РКА. 21. Сведения о перспективах развития и (или) об использовании космической инфраструктуры Российской Федерации в интересах обеспечения обороноспособности и безопасности государства Минобороны России, Минэкономики России, ФСБ России, РКА. 22. Сведения, раскрывающие состояние и (или) направления развития гидронавтики в интересах обороны и безопасности государства Минобороны России, Минэкономики России.
• 3. Сведения о внешнеполитической и внешнеэкономической деятельности 23. Сведения по вопросам внешней политики, внешней торговли, научно-технических связей, раскрывающие стратегию и тактику внешней политики Российской Федерации, преждевременное распространение которых может нанести ущерб интересам государства
Приложение 3 МВЭС России, Минздрав России, МИД России, Миннауки России, Минобороны России, Администрация Президента Российской Федерации. 24. Сведения по политическим, военным, научнотехническим или экономическим вопросам в отношении одного или ряда иностранных государств, полученные в доверительном порядке, если их разглашение может привести к выявлению источника этих сведений Минатом России, МВЭС России, МИД России, Миннауки России, Минобороны России, МПС России, Минэкономики России, ФПС России. 25. Сведения о переговорах между представителями Российской Федерации и представителями других государств о выработке единой принципиальной позиции в международных отношениях, если, по мнению участников переговоров, разглашение этих сведений может повлечь для одной из сторон дипломатические осложнения МВЭС России, МИД России, Минобороны России, СВР России. 26. Сведения о подготовке, заключении, ратификации, подготовке денонсации, содержании или выполнении договоров, конвенций или соглашений с иностранными государствами, преждевременное распространение которых может нанести ущерб обороноспособности, безопасности, политическим или экономическим интересам Российской Федерации Минатом России, МВЭС России, МИД России, Минобороны России, Минэкономики России, СВР России, ФПС России, ФСО России. 27. Сведения о российском экспорте и импорте вооружения и военной техники, их ремонте и эксплуатации, об оказании технического содействия иностранным государствам в создании вооружения, военной техники, военных объектов и объектов оборонной промышленности, а также сведения об оказании Российской Федерацией военно-технической помощи иностранным государствам, если разглашение этих сведений может повлечь для одной из сторон дипломатические осложнения МВЭС России, Минобороны России, Минэкономики России, ФАПСИ.
Приложение 3 Сведения, раскрывающие планы (задания) государственного оборонного заказа в части экспортно-импортных поставок в области военно-технического сотрудничества Российской Федерации с иностранными государствами МВЭС России, Минобороны России, Минфин России, Минэкономики России, ФАПСИ. 28. Сведения, раскрывающие существо или объем экономического сотрудничества Российской Федерации с иностранными государствами в особый период, а также взаимодействие военно-мобилизационных органов внешнеэкономических организаций государств-участников СНГ по этим вопросам МВЭС России, Минобороны России, Минэкономики России, МЧС России. 29. Сведения, раскрывающие содержание мероприятий по обеспечению взаимных поставок сырья, материалов, топлива, оборудования, медикаментов между Российской Федерацией и государствами-участниками СНГ на расчетный год или мероприятий по оказанию последним технического содействия в строительстве предприятий и объектов на расчетный год в целом по Российской Федерации МВЭС России, Минобороны России, МПС России, МЧС России, Минэкономики России. 30. Сведения, раскрывающие объемы перевозок экспортно-импортных грузов между Российской Федерацией и государствами-участниками СНГ на расчетный год в целом по Российской Федерации МВЭС России, Минобороны России, МЧС России, Минэкономики России.
• 4. Сведения в области экономики, науки и техники 31. Сведения о показателях, определяющих подготовку экономики Российской Федерации к устойчивому функционированию в военное время Минатом России, МВД России, МВЭС России, Минобороны России, Минобразования России, МПС Рос400 сии, Минтопэнерго России, Минфин России, МЧС
Приложение 3 России, Минэкономики России, ФСБ России, Администрация Президента Российской Федерации. 32. Сведения, раскрывающие существо новейших достижений в области науки и техники, которые могут быть использованы в создании принципиально новых изделий, технологических процессов в различных отраслях экономики, а также сведения, определяющие качественно новый уровень возможностей вооружения и военной техники, повышения их боевой эффективности, разглашение которых может нанести ущерб интересам государства МВЭС России, Минздрав России, Миннауки России, Минобороны России, Минобразования России, МПС России, Минтопэнерго России, МЧС России, Минэкономики России, Росгидромет, СВР России, ФАПСИ, ФПС России, ФСО России, РКА. 33. Сведения, раскрывающие содержание и (или) направленность научно-исследовательских, опытно-конструкторских или проектных работ, проводимых в интересах обороны и обеспечения безопасности государства Минатом России, МВЭС России, Миннауки России, Минобороны России, Минобразования России, МПР России, Минтранс России, МЧС России, Минэкономики России, СВР России, ФАПСИ, ФПС России, ФСБ России, ФСО России, ГУСП, РКА. 34. Сведения о подготовке или распределении кадров, раскрывающие мербприятия, проводимые в интересах обеспечения безопасности государства Минобороны России, Минобразования России, Минэкономики России, СВР России, ФПС России, ФСБ России, ФСО России, Администрация Президента Российской Федерации. 35. Сведения, раскрывающие результаты работ в области гидрометеорологии или гелиогеофизики, а также результаты специальных геолого-геофизических исследований, проводимых в интересах обеспечения безопасности государства Минобороны России, МПР России, Росгидромет. 36. Сведения, раскрывающие планы (задания) государственного оборонного заказа, объемы поставок вооружения и военной техники, производственные мощности по их выпуску. 401
Приложение 3 Сведения о кооперационных связях предприятий, о разработчиках или изготовителях вооружения и военной техники, если эти сведения раскрывают данные о производственных мощностях по их выпуску и (или) основные тактико-технические характеристики вооружения и военной техники Минатом России, МВД России, МВЭС России, Минобороны России, Минтопэнерго России, Минтранс России, МЧС России, Минэкономики России, ФАПСИ, ФСБ России, ФСО России, РКА. 37. Сведения, раскрывающие состояние метрологического обеспечения вооружения и военной техники, технические или метрологические характеристики военных эталонов или средств метрологического обеспечения, определяющие качественно новый уровень вооружения и военной техники. Сведения, раскрывающие основные направления или программы развития стандартизации, а также содержание стандартов в области вооружения и военной техники Минобороны России, Минэкономики России, Госстандарт России, ФАПСИ. 38. Сведения, раскрывающие прогнозные оценки научно-технического прогресса в Российской Федерации и его социально-экономические последствия по направлениям, определяющим обороноспособность государства Минобороны России, Минэкономики России. 39. Сведения о производстве металлургической промышленности цветных, редких металлов или других материалов, имеющих стратегическое значение Минобороны России, Минэкономики России. 40. Сводные сведения о государственных запасах драгоценных металлов (кроме золота), природных алмазов в натуральном или денежном выражении в целом по Российской Федерации, федеральным органам исполнительной власти Минфин России, Минэкономики России, Банк России. 41. Сведения, раскрывающие прогнозные данные о производстве золота, добыче природных алмазов, а также отчетные данные о добыче природных алмазов 402 за период от одного года и более в натуральном вы-
Приложение 3 ражении в целом по Российской Федерации, субъектам Российской Федерации, федеральным органам исполнительной власти Минфин России, Минэкономики России, Банк России. 42. Сведения, раскрывающие прогнозные или фактические объемы производства платины, металлов платиновой группы (палладия, иридия, родия, рутения, осмия), серебра в натуральном выражении в целом по Российской Федерации, субъектам Российской Федерации, федеральным органам исполнительной власти Минфин России, Минэкономики России, Банк России. 43. Сводные сведения о поступлениях драгоценных металлов и драгоценных камней в Госфонд России, об отпуске их потребителям Российской Федерации за период от одного года и более в натуральном или денежном выражении в целом по Российской Федерации Минфин России, Минэкономики России, Банк России. 44. Сводные сведения об объемах потребления или отпуска драгоценных металлов и природных алмазов в сопоставлении с объемами их добычи в натуральном или денежном выражении за период от одного года и более в целом по Российской Федерации, федеральным органам исполнительной власти Минфин России, Минэкономики России. 45. Сведения об объемах потребления отдельно платины, металлов платиновой группы (палладия, иридия, родия, рутения, осмия), серебра в натуральном выражении в сопоставлении с объемами производства указанных металлов за период от одного года и более в целом по Российской Федерации Минфин России, Минэкономики России. 46. Сведения о балансовых запасах в недрах страны природных алмазов от 25 млн карат и выше, золота от 100 тонн и выше, платины, металлов платиновой группы (палладия, иридия, родия, рутения, осмия) от 50 тонн и выше, серебра от 10 тыс. тонн и выше, о приросте разведанных запасов этих полезных ископаемых в целом по Российской Федерации, субъектам Российской Федерации, отдельным крупным месторождениям, если размеры запасов соответствуют указанным размерам Минфин России, Минэкономики России, Банк России. 4D3
Приложение 3 47. Сведения о себестоимости серебра, платины, металлов платиновой группы (палладия, иридия, родия, рутения, осмия), природных алмазов в целом по Российской Федерации, субъектам Российской Федерации, а также сведения, применяемые для расчета кондиций, необходимых при подсчете разведанных запасов золота в его месторождениях или месторождениях комплексных руд в размерах, указанных в позиции 46 настоящего перечня Минфин России, Минэкономики России, Банк России. 48. Сведения, раскрывающие ресурсный потенциал, балансовые запасы в недрах или данные о добыче стратегических видов полезных ископаемых в целом по Российской Федерации, субъектам Российской Федерации МПР России, Минэкономики России. 49. Сведения о расходах федерального бюджета, связанных с обеспечением безопасности Российской Федерации (кроме обобщенных показателей) МВЭС России, Минфин России, Минэкономики России. 50. Сведения, раскрывающие затраты на научноисследовательские, опытно-конструкторские работы по созданию вооружения, военной техники Минатом России, МВД России, МВЭС России, Минобороны России, МЧС России, Минэкономики России, ФАПСИ, ФПС России, ФСБ России, ФСО России, РКА. Те же сведения применительно к работам, проводимым в интересах специальных объектов ГУСП. 51. Сведения, раскрывающие ассигнования или фактические затраты на заказы, разработку, производство или ремонт вооружения и военной техники, режимных объектов Минатом России, МВЭС России, Минобороны России, МЧС России, Минэкономики России, СВР России, ФАПСИ, ФПС России, ФСБ России, ФСО России, РКА. Те же сведения применительно к специальным объектам
404
гусп.
Приложение 3 52. Сведения по неурегулированным расчетам Российской Федерации с иностранными государствами (кроме обобщенных показателей по внешней задолженности) МВЭС России, МИД России, Минфин России, Банк России. 53. Сведения о финансовой и (или) денежно-кредитной деятельности, преждевременное распространение которых может нанести ущерб безопасности государства Минфин России. 54. Сведения, раскрывающие расходы денежных средств на содержание войск по отдельным статьям смет федеральных органов исполнительной власти МВД России, Минобороны России, МЧС России, Минэкономики России, ФАПСИ, ФПС России. 55. Сведения о денежных банкнотах нового образца или проектах монет (кроме юбилейных и памятных) до официального опубликования Банк России. 56. Сведения о производстве банкнот Банка России в натуральном или денежном выражении, способах, обеспечивающих защиту этих банкнот и других изделий Гознака от подделок, а также о способах определения их подлинности МВД России, Минфин России. 57. Сведения, раскрывающие объемы выпуска или поставок стратегических видов сельскохозяйственного сырья Минобороны России, Минсельхозпрод России, Минэкономики России. 58. Сведения, раскрывающие объемы поставок и запасов стратегических видов топлива Минобороны России, Минтопэнерго России, Минэкономики России. 59. Сведения о мобилизационных мощностях по изготовлению (ремонту) вооружения, военной техники, о создании и (или) развитии (сохранении) этих мощностей Федеральные органы исполнительной власти, имеющие мобилизационные задания. 60. Сведения о мобилизационных мощностях по производству продукции общего применения, страте- 405
ПРИЛОЖЕНИЕ 3
гических видов сырья, материалов, о создании и (или) развитии (сохранении) этих мощностей Федеральные органы исполнительной власти, имеющие мобилизационные задания. Фе. Сведения, раскрывающие работы, проводимые в целях создания средств индикации, дегазации, химической или биологической защиты от оружия массового поражения или новых сорбционных и других материалов для них Минздрав России, Минобороны России, Минобразования России, МЧС России, Минэкономики России. 62. Сведения, раскрывающие результаты топографической, геодезической или картографической деятельности, имеющие важное оборонное или экономическое значение Минобороны России, Минэкономики России, Роскартография, Госкомзем России. 63. Сводные данные о российском экспорте и импорте немонетарного золота, драгоценных металлов и камней или изделий из них МВЭС России, Минэкономики России. 64. Сведения, раскрывающие состояние, оборудование, подготовку для военных целей транспортной сети, средств транспорта, объемы воинских перевозок и маршруты транспортировки вооружения и военной техники МВД России, Минобороны России, Минтранс России, Минэкономики России. 65. Сведения, раскрывающие возможности и (или) мобилизационные резервы железных дорог и МПС России по обеспечению железнодорожных перевозок грузов, организацию и объемы воинских перевозок, объемы перевозок и маршруты транспортировки стратегических видов энергетического, минерального, сельскохозяйственного сырья, топлива, материалов, отдельных видов вооружения или военной техники, организацию и (или) функционирование системы связи или управления, а также специальные меры по обеспече. нию безопасности железнодорожного движения или сохранности грузов _пс МВД России, Минобороны России, МПС России, 411 и Минэкономики России.
Приложение 3
'
66. Сведения, раскрывающие дислокацию, специализацию, мощности и (или) пропускную способность пунктов погрузки или выгрузки войск, данные об их продовольственном, медико-санитарном обслуживании Минобороны России, МПС России. 67. Сведения, раскрывающие мобилизационную потребность в транспортных средствах, в том числе по отдельным видам транспорта, и (или) мобилизационную обеспеченность ими Минздрав России, Минобороны России, МПС России, Минтранс России, МЧС России, Минэкономики России. 68. Сведения, раскрывающие состояние сил или средств гражданской обороны в целом по Российской Федерации Федеральные органы исполнительной власти, располагающие силами гражданской обороны. 69. Сведения, раскрывающие структурную организацию или показатели мобилизационного плана экономики Российской Федерации, а также состояние мобилизационной подготовки федеральных органов исполнительной власти или отдельных организаций Федеральные органы исполнительной власти, имеющие мобилизационные задания. 70. Сведения, раскрывающие дислокацию, фактические запасы государственных и (или) мобилизационных резервов, их использование МВД России, Минздрав России, Минобороны России, МПС России, Минэкономики России, Госкомрезерв России. 71. Сведения, характеризующие состояние страхового фонда документации на вооружение и военную технику, основные виды гражданской продукции, включаемые в мобилизационные планы, на объекты повышенного риска и (или) системы жизнеобеспечения населения, на объекты, являющиеся национальным достоянием, а также сведения о дислокации объектов (баз) хранения страхового фонда документации в целом по Российской Федерации Минатом России, Минобороны России, МПС России, МЧС России, Минэкономики России. 72. Сведения, раскрывающие планы, содержание или результаты научно-исследовательских работ в об-
Приложение 3 ласти мобилизационной подготовки промышленности Российской Федерации Минобороны России, МЧС России, Минэкономики России. 73. Сведения, раскрывающие платежный баланс Российской Федерации с зарубежными странами в целом на военный период МВЭС России, Минобороны России, Минэкономики России, Банк России. 74. Сведения о горных выработках, естественных полостях, метрополитенах или других сооружениях, которые могут быть использованы в интересах обороны страны, а также сведения, раскрывающие схемы водоснабжения городов с населением более 500 тыс. человек, железнодорожных узлов и (или) расположение головных сооружений водопровода и водовода, их питающих Минобороны России, МПР России, МЧС России, Госстрой России. 75. Сведения о физико-химических явлениях (полях), сопутствующих созданию, производству и (или) эксплуатации вооружения, военной техники, раскрывающие их охраняемые параметры Минатом России, МВД России, Минздрав России, Минобороны России, Минобразования России, Минтопэнерго России, Минтранс России, МЧС России, Минэкономики России, Росгидромет, ФАПСИ, ФПС России, ФСБ России, РКА, Гостехкомиссия России.
• 5. Сведения в области разведывательной, контрразведывательной, оперативно-розыскной деятельности и организации защиты государственной тайны 76. Сведения в области разведывательной, контрразведывательной деятельности и защиты информации, раскрывающие организацию или фактическое состояние защиты государственной тайны Органы государственной власти, организующие обеспечение защиты государственной тайны. 77. Сведения, раскрывающие методы и средства защиты информации, содержащей сведения, составля-
Приложение 3 ющие государственную тайну, планируемые и (или) проводимые мероприятия по защите информации от несанкционированного доступа, иностранных технических разведок и утечки по техническим каналам Минобороны России, ФАПСИ, ФСБ России, ФСО России, Гостехкомиссия России, СВР России. 78. Сведения о системе президентской, правительственной, шифровальной связи, в том числе кодированной и засекреченной, о шифрах, их разработке, изготовлении и обеспечении ими, о методах и средствах анализа шифровальных средств и средств специальной защиты, об информационно-аналитических системах специального назначения Минобороны России, ФАПСИ, ФСО России, ФСБ России, Администрация Президента Российской Федерации. 79. Сведения, раскрывающие организацию, силы, средства или методы обеспечения безопасности объектов государственной охраны, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения ФСО России, Администрация Президента Российской Федерации. 80. Сведения, раскрывающие силы, средства, методы, планы, состояние или результаты разведывательной, контрразведывательной или оперативно-розыскной деятельности, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения. Сведения о лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими контрразведывательную или оперативно-розыскную деятельность, о сотрудниках ФСБ России, выполняющих (выполнявших) специальные задания в специальных службах и организациях иностранных государств, в преступных группах. Сведения, раскрывающие принадлежность конкретных лиц к кадровому составу органов контрразведки Российской Федерации. Сведения, раскрывающие состояние, результаты, а также мероприятия оперативно-мобилизационной работы Минобороны России, ФСБ России, ФСО России, МВД России, ФПС России, ФАПСИ, ФСНП России.
Приложение 3 81. Сведения, раскрывающие силы, средства, источники, методы, планы, состояние, организацию, результаты разведывательной или оперативно-розыскной деятельности. Сведения, раскрывающие принадлежность конкретных лиц к кадровому составу органов внешней разведки Российской Федерации. Сведения о лицах, оказывающих (оказавших) конфиденциальное содействие органам внешней разведки Российской Федерации. Сведения, раскрывающие состояние и результаты оперативно-мобилизационной работы, проводимой в области внешней разведки Минобороны России, СВР России, ФСБ России, МВД России, ФПС России, ФАПСИ, ФСНП России. 82. Сведения, раскрывающие силы, средства, методы, планы и результаты оперативно-розыскной деятельности, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения. Сведения о лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими оперативно-розыскную деятельность МВД России, ФСНП России, ГТК России. 83. Сведения, раскрывающие принадлежность конкретных лиц к подразделениям по борьбе с организованной преступностью, а также проводимые ими оперативно-поисковые и оперативно-технические мероприятия МВД России, ФСБ России. 84. Сведения, раскрывающие принадлежность конкретных лиц к кадровому составу оперативных подразделений таможенных органов ГТК России. 85. Сведения, раскрывающие силы, средства и методы ведения следствия по уголовным делам о государственных преступлениях МВД России, ФСБ России. 86. Сведения, раскрывающие силы, средства, методы, планы, состояние и результаты деятельности органов радиоэлектронной разведки средств связи, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения 410 Минобороны России, ФАПСИ, ФСБ России.
Приложение 3 87. Сведения, раскрывающие силы, средства, методы, планы или результаты разведывательной, контрразведывательной, оперативно-розыскной деятельности органов пограничной службы ФПС России, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения. Сведения о лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами пограничной службы ФПС России, осуществляющими разведывательную, контрразведывательную или оперативно-розыскную деятельность ФПС России.
Приложение 4
УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ
Об утверждении перечня сведений конфиденциального характера В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти постановляю: Утвердить прилагаемый перечень сведений конфиденциального характера. Президент Российской Федерации Б. ЕЛЬЦИН Москва, Кремль 6 марта 1997 г. № 188
УТВЕРЖДЕН
Указом Президента от 6 марта 1997 г. № 188 ПЕРЕЧЕНЬ
сведений конфиденциального характера 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
Приложение 4 2. Сведения, составляющие тайну следствия и судопроизводства. 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна). 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и др.). 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческаятайна). 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Приложение 5
ПОЛОЖЕНИЕ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Постановление Правительства Российской Федерации от 30 апреля 2002 г. № 290 г. Москва О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» Правительство Российской Федерации постановляет: Утвердить прилагаемое Положение о лицензировании деятельности по технической защите конфиденциальной информации. Председатель Правительства Российской Федерации М. Касьянов 1. Настоящее Положение определяет порядок лицензирования деятельности юридических лиц и индивидуальных предпринимателей по технической защите конфиденциальной информации. 2. Конфиденциальной является информация, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничен в соответствии с законодательством Российской Федерации. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по защите ее от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на нее в целях уничтожения, искажения или блокирования доступа.
Приложение 5 3. Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Государственная техническая комиссия при Президенте Российской Федерации (далее именуется — лицензирующий орган). 4. Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются: а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности «компьютерная безопасность», «комплексное обеспечение информационной безопасности автоматизированных систем» или «информационная безопасность телекоммуникационных систем», либо специалистами, прошедшими переподготовку по вопросам защиты информации; б) соответствие производственных помещений, производственного, испытательного и контрольноизмерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации, руководящими и нормативно-методическими документами, утвержденными приказами Государственной технической комиссии при Президенте Российской Федерации, которые зарегистрированы в Министерстве юстиции Российской Федерации; в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации; г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем. 5. Для получения лицензии соискатель лицензии представляет в лицензирующий орган следующие документы: а) заявление о выдаче лицензии с указанием: • лицензируемой деятельности; • наименования, организационно-правовой формы и .._ места нахождения — для юридического лица; 413
Приложение 5 • фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, — для индивидуального предпринимателя; б) копии учредительных документов и свидетельства о государственной регистрации соискателя лицензии — юридического лица; в) копия свидетельства о государственной регистрации соискателя лицензии — индивидуального предпринимателя; г) копия свидетельства о постановке соискателя лицензии на учет в налоговом органе с указанием идентификационного номера налогоплательщика; д) документ, подтверждающий уплату лицензионного сбора за рассмотрение заявления о выдаче лицензии; е) сведения о квалификации специалистов по защите информации соискателя лицензии. Если копии документов не заверены нотариально, вместе с копиями предъявляются оригиналы. 6. При предоставлении лицензии лицензирующий орган имеет право провести проверку соответствия соискателя лицензии указанным в пункте 4 настоящего Положения лицензионным требованиям и условиям, а также запросить у соискателя лицензии сведения, подтверждающие возможность соблюдения таких требований и условий. 7. Лицензирующий орган в срок, не превышающий шестидесяти дней с даты получения документов, предусмотренных пунктом 5 настоящего Положения, принимает решение о выдаче или об отказе в выдаче лицензии и направляет (вручает) соискателю лицензии уведомление о выдаче лицензии либо об отказе в выдаче лицензии с указанием причин отказа. 8. Срок действия лицензии составляет пять лет и может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии. Переоформление лицензии осуществляется в течение десяти дней со дня получения лицензирующим органом соответствующего заявления. 9. Лицензирующий орган ведет реестр лицензий, в котором указываются: 416 а) наименование лицензирующего органа;
Приложение 5 б) наименование, организационно-правовая форма, место нахождения юридического лица, фамилия, имя, отчество, место жительства индивидуального предпринимателя, а также данные документа, удостоверяющего его личность; в) идентификационный номер налогоплательщика; г) код лицензиата по Общероссийскому классификатору предприятий и организаций; д) лицензируемая деятельность; е) срок действия лицензии; ж) дата принятия решения о выдаче лицензии; з) номер лицензии и дата ее выдачи; и) сведения о регистрации лицензии в реестре; к) основания и даты приостановления и возобновления действия лицензии; л) основания и сроки продления лицензии; м) основание и дата аннулирования лицензии. 10. Контроль за выполнением лицензиатом лицензионных требований и условий осуществляется лицензирующим органом. Плановая проверка выполнения лицензиатом лицензионных требований и условий проводится не чаще одного раза в год. Деятельность лицензиата, при проведении плановой проверки которой выявлены нарушения лицензионных требований и условий, подлежит внеплановой проверке, предметом которой является контроль исполнения предписаний об устранении выявленных нарушений. Внеплановая проверка выполнения лицензиатом лицензионных требований и условий проводится лицензирующим органом также в случае: • получения информации от юридических лиц, индивидуальных предпринимателей, органов государственной власти о нарушении лицензиатом лицензионных требований и условий; • обращения граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушения их прав и законных интересов в связи с невыполнением лицензиатом лицензионных требований и условий, его бездействием, а также получения иной информации, подтверждаемой документами и другими доказательствами, свиде- 417 14 Безопасность
Приложение 5 тельствующими о наличии признаков таких нарушений. Продолжительность проверки выполнения лицензиатом лицензионных требований и условий не должна превышать одного месяца. По результатам проверки оформляется соответствующий акт. В акте указываются конкретные нарушения лицензионных требований и условий и устанавливается срок их устранения. Лицензиат в обязательном порядке знакомится с актом. 11. Принятие решения о выдаче лицензии, переоформление, приостановление действия и аннулирование лицензии, а также взимание лицензионных сборов осуществляются в порядке, установленном Федеральным законом «О лицензировании отдельных видов деятельности» и настоящим Положением.
Приложение 6 ИНСТРУКЦИЯ по защите конфиденциальной информации при работе с зарубежными партнерами
• 1. Общие положения 1.1. Настоящая Инструкция определяет порядок работы с зарубежными партнерами. Положениями настоящей Инструкции необходимо руководствоваться также и при контактах с представителями совместных предприятий и с представителями конкурирующих фирм и организаций. 1.2. При работе с зарубежными партнерами также следует руководствоваться положениями «Инструкции по защите коммерческой тайны». 1.3. Инструкция устанавливает режим работы с иностранцами с целью защиты конфиденциальной информации. 1.4. Под работой с иностранцами следует понимать совокупность всех видов деятельности при контактах с иностранными компаниями, фирмами (переписка, телефонные разговоры, передача телексных и факсимильных сообщений) либо личных встреч с их представителями по служебным делам. 1.5. Ответственность за организацию работы с зарубежными партнерами и соблюдение требований настоящей Инструкции несут руководство, служба безопасности и руководители соответствующих структурных подразделений фирмы. 1.6. Для работы с зарубежными партнерами ежегодно составляются списки сотрудников, выделенных для этой работы.
• 2. Основания для работы с зарубежными партнерами 2.1. Основанием для работы с зарубежными партнерами по служебной необходимости являются: планы международных научно-технических связей, заключен14*
Приложение В ные контракты и протоколы, соглашения об установлении прямых производственных, научно-технических связей, решения о совместной деятельности, а также инициатива самих зарубежных представителей и представителей российской стороны. 2.2. Решение о приеме иностранцев принимается генеральным директором или его заместителями по представлениям руководителей структурных подразделений, согласованных с отделом по международным связям, службой безопасности, техническим отделом и отделом документационного обеспечения. 2.3. Основанием для командирования сотрудников за рубеж служит решение генерального директора или его заместителей, выносимое на основании представляемых руководителями соответствующих отделов материалов, оформленных в установленном порядке. Принятое решение излагается письменно непосредственно на докладной записке, представляемой в установленные сроки. 2.4. В докладной записке отражаются следующие сведения: цель выезда; страна командирования и принимающая организация (фирма); срок командирования; условия финансирования поездки; фамилия, имя, отчество и занимаемая должность командируемых.
• 3. Формы работы с зарубежными партнерами
420
3.1. Прием зарубежных делегаций 3.1.1. Прием приглашенных зарубежных делегаций осуществляется на основе утвержденных программ, составляемых по установленной форме, а также сметы расходов по приему. Программы пребывания приглашенных зарубежных делегаций и сметы расходов составляются соответствующими подразделениями, отвечающими за прием, согласовываются с отделом международных связей, службой безопасности и утверждаются генеральным директором. Ответственным за выполнение программы пребывания иностранной делегации является руководитель соответствующего отдела. 3.2. Организация деловых встреч (переговоров) 3.2.1. Деловые встречи с зарубежными партнерами организуются на основе заявок, оформленных соответствующими отделами, отвечающими за прием по установленной форме.
Приложение 6 3.2.2. Заявки согласовываются с руководителем отдела международных связей, службой безопасности, отделом технического обеспечения и утверждаются генеральным директором или его заместителями. 3.2.3. Переводчиков на деловые встречи приглашает отдел, принимающий зарубежных представителей. 3.2.4. Для участия в деловых встречах с зарубежными партнерами, как правило, привлекаются специалисты из числа сотрудников, выделенных для работы с зарубежными представителями, в количестве не менее двух человек. 3.2.5. Деловые встречи могут проводиться в кабинете генерального директора, кабинете его первого заместителя и специально выделенном для этого помещении. 3.2.6. Встречу, сопровождение и проводы зарубежных партнеров осуществляют сотрудники соответствующих отделов и отдела по международным связям. 3.2.7. Лица, участвующие в переговорах, обязаны: • хранить конфиденциальную информацию фирмы; • не входить в обсуждение вопросов, не относящихся к их компетенции. 3.3. Посещение приемов, симпозиумов, семинаров, выставок и других мероприятий, организуемых зарубежными партнерами или с их участием 3.3.1. Сотрудники фирмы посещают приемы, симпозиумы и семинары, организуемые зарубежными партнерами или с участием зарубежных партнеров, по служебным вопросам по согласованию с отделом международных связей, отделом технического обеспечения и с разрешения генерального директора. 3.3.2. При поступлении письменных или устных приглашений на подобные мероприятия непосредственно в адрес сотрудников следует руководствоваться п. 3.3.1. настоящей Инструкции. 3.4. Передача материалов зарубежным представителям Передача зарубежным партнерам научно-технических и других материалов допускается после их предварительного рассмотрения руководством и службой безопасности с целью определения возможности их передачи. 3.5. Ведение служебной переписки. Прием и передача телексных и факсимильных сообщений, ведение телефонных разговоров с зарубежными партнерами
Приложение 6 3.5.1. Общие положения 3.5.1.1. Руководство фирмы, отделы и подразделения фирмы ведут служебную переписку, прием и передачу телексных и факсимильных сообщений через отдел документационного обеспечения. 3.5.1.2. Вся входящая международная корреспонденция (вне зависимости от ее вида) регистрируется и первично рассматривается в отделе документационного обеспечения. Корреспонденция докладывается генеральному директору или его заместителям или направляется на рассмотрение и исполнение непосредственно в отделы. 3.5.1.3. После рассмотрения руководством корреспонденция в соответствии с резолюцией направляется исполнителям, и контроль за сроками исполнения поручения осуществляется в соответствии с установленным порядком. 3.5.1.4. Право подписи корреспонденции в адрес зарубежных представительств имеют генеральный директор, его заместители и начальники отделов. 3.5.1.5. Любая корреспонденция в адрес зарубежных представительств подлежит визированию у руководства и в службе безопасности фирмы. Один экземпляр документов остается в отделе документационного обеспечения. 3.5.2. Работа с письмами 3.5.2.1. Служебные письма, адресуемые зарубежным партнерам, пишутся на фирменных бланках с указанием наименования фирмы на английском языке, а также с разрешенными номерами телефонов, факсов и телексов, выделенных для работы с зарубежными представителями. Ставить какие-либо штампы и печати на таких письмах не разрешается. 3.5.2.2. Проекты писем в адрес зарубежных партнеров готовятся в отделах фирмы при строгом соблюдении конфиденциальности. Наименование отдела, фамилия и номер телефона исполнителя письма на подлиннике не указываются, а приводятся на копиях. 3.5.3. Работа с телексными сообщениями 3.5.3.1. Телексные сообщения от иностранцев принимаются на специально выделенный аппарат сети Телекс. 3.5.3.2. Подготовка проектов телексных сообщений осуществляется отделами по установленной форме на иностранном языке.
Приложение В 3.5.3.3. Отправка телексных сообщений зарубежным партнерам осуществляется в порядке, установленном настоящей Инструкцией. 3.5.4. Работа с факсимильными сообщениями 3.5.4.1. Все факсимильные сообщения от иностранцев подлежат регистрации в отделе документационного обеспечения. 3.5.4.2. Подготовка проектов факсимильных сообщений осуществляется отделами на бланках, используемых для письменной корреспонденции и со специальным титульным листом. Тексты сообщений могут быть как на русском, так и на иностранных языках. Требования к реквизитам исполнителя аналогичны требованиям п. 3.5.2.2. настоящей Инструкции. 3.5.4.3. Передача факсимильных сообщений иностранцам осуществляется отделами со специально выделенного аппарата факсимильной связи с предварительной регистрацией в отделе документационного обеспечения. 3.5.5. Ведение телефонных разговоров Сотрудники фирмы могут вести телефонные разговоры с зарубежными партнерами с телефонов, выделяемых для этих целей в каждом отделе: список телефонов подлежит согласованию с отделом международных связей и службой безопасности. 3.6. Командирование за рубеж 3.6.1. Состав делегаций, командируемых за рубеж за счет собственных средств, формируется соответствующими отделами и согласовывается с отделом международных связей, службой безопасности и руководством фирмы. 3.6.2. При командировании за рубеж по служебной линии делегациям и отдельным специалистам выдается техническое задание, в котором отражается перечень конкретных вопросов, для решения которых организуется поездка. Технические задания составляются отделом международных связей и представляются на утверждение руководству не позднее чем за две недели до выезда. 3.6.3. Оформление выездных документов производится в отделе международных связей в установленном порядке.
423
• 4. Оформление результатов работы
с иностранцами, учет и отчетность
4.1.. Соответствующие отделы, принимающие иностранцев, по итогам работы с зарубежными партнерами и командирования за рубеж составляют отчеты произвольной формы. По итогам деловых встреч составляются записи бесед по установленной форме. Записи бесед представляются в отдел по международным связям в двухдневный срок после окончания работы с иностранцами, а отчеты, как правило, — в двух^ недельный срок (два печатных экземпляра). 4.2. В записях бесед и отчетах указывается: когда, где, с кем состоялась встреча; ее основание и цель; кем дано разрешение на встречу, какое учреждение, организацию или фирму представляли иностранцы, их фамилии и должностное положение; кто присутствовал со стороны фирмы; содержание беседы (существо вопросов и ответы на них); какая документация и какие образцы изделий и материалов переданы зарубежным представителям или получены от них, обязательства сторон по существу обсуждавшихся вопросов, а также другая заслуживающая внимания информация. 4.3. Отдел международных связей ведет учет принимаемых иностранных делегаций и деловых встреч, а также учет сообщений от фирмы о контактах с иностранцами.
• 5. Организационные мероприятия по результатам работы с иностранцами 5.1. Отчеты по результатам работы с зарубежными представительствами и записи бесед, содержание обязательства и предложения сторон докладываются соответствующими отделами, организовавшими встречу, руководству фирмы и службе безопасности. 5.2. Координация работ по выполнению поручений руководства по данным документам возлагается на отдел международных связей и службу безопасности. 5.3. Контроль за выполнением положений настоящей Инструкции возлагается на руководство фирмы, отдел международных связей и службу безопасности.
Приложение 7
ОБЕСПЕЧЕНИЕ СОХРАНЕНИЯ КОММЕРЧЕСКОЙ ТАЙНЫ ПРЕДПРИЯТИЯ
Важными источниками конфиденциальной информации являются люди, документы и публикации. От того, как организована работа с людьми и документами, зависит и безопасность предприятия. Целям предотвращения нанесения экономического, финансового и материального ущерба предприятию (организации), вызванного неправомерными или неосторожными действиями, а также неквалифицированным обращением или разглашением коммерческой тайны, служат настоящие предложения. Предложения по обеспечению коммерческой тайны носят общий рекомендательный характер, не являются нормативным документом, ориентированы в основном на работу с документами, содержащими сведения коммерческого характера, и предусматривают главным образом организационные меры защиты коммерческих секретов. При подготовке данного пособия были использованы материалы и опыт государственных и коммерческих структур по защите информации.
•
1.
Общие
ПОЛОЖЕНИЯ
1.1. Под коммерческой тайной понимаются не являющиеся государственными секретами сведения, связанные с производственно-технической, научноисследовательской, опытно-конструкторской и другой
425
|
426
Приложение 7 деятельностью предприятия, а также с их технологической информацией, управлением, финансами, разглашение, утечка или неправомерное овладение которыми может нанести ущерб его интересам. 1.2. К сведениям, составляющим коммерческую тайну, относятся несекретные сведения, предусмотренные «Перечнем конкретных сведений, составляющих коммерческую тайну», утвержденным и введенным в действие приказом директора предприятия. Коммерческая тайна является собственностью предприятия. Если коммерческая тайна является результатом совместной деятельности с другими предприятиями, основанной на договорных началах, то коммерческая тайна может быть собственностью двух сторон. Это обстоятельство должно найти отражение в договоре. Примечание. Единой установки на обозначение грифа ограничения доступа к документу, содержащему коммерческую тайну, нет, таким грифом может быть «коммерческая тайна». На других предприятиях могут быть: «коммерческая тайна», «секрет предприятия», «тайна предприятия» и др. Такой ограничительный гриф не является грифом секретности, а лишь показывает, что право собственности на данную информацию охраняется законодательством. 1.3. Под разглашением коммерческой тайны имеются в виду противоправные, умышленные или неосторожные действия должностных или иных лиц, приведшие к преждевременному, не вызванному служебной необходимостью, оглашению охраняемых сведений, подпадающих под эту категорию, а также передача таких сведений по открытым техническим каналам или обработка их на некатегорированных ЭВМ. 1.4. Под открытым опубликованием вышеуказанных сведений имеется в виду публикация материалов в открытой печати, передача по радио и телевидению, оглашение на международных, зарубежных и открытых внутренних съездах, конференциях, совещаниях, симпозиумах, при публичной защите диссертаций и других публичных выступлениях, свободная рассылка, вывоз материалов за границу или передача их в любой форме иностранным фирмам, организациям или отдельным лицам вне сферы прямых служебных обязанностей.
Приложение 7 1.5. Необходимость и возможность открытого опубликования этих сведений, а также их объемы, формы и время опубликования определяются директором или его заместителями по направлениям по заключению постоянно действующей экспертной комиссии. 1.6. Меры по ограничению открытых публикаций коммерческой информации не могут быть использованы во вред принципу гласности и для сокрытия от общественности фактов бесхозяйственности, расточительства, недобросовестной конкуренции и других негативных явлений. Использование для открытого опубликования сведений, полученных на договорной или доверительной основе или являющихся результатом совместной производственной деятельности, допускается лишь с общего согласия партнеров. 1.7. Передача информации сторонним организациям, не связанным прямыми служебными контактами, должна регулироваться, как правило, договорными отношениями, предусматривающими обязательства и ответственность пользователей, включая возмещение материальных затрат на предоставление информации и компенсацию за нарушение договорных обязательств. 1.8. Предоставление коммерческой информации представителям служебных, ревизионных, фискальных и следственных органов, народным депутатам, органам печати, радио регулируется соответствующими положениями. 1.9. Тиражированные документы и издания с грифом «коммерческая тайна» рассматриваются как материалы, содержащие сведения ограниченного распространения. 1.10. Ответственность за обеспечение режима при работе с материалами с грифом «КТ», своевременную разработку и осуществление необходимых мероприятий по сохранению коммерческой тайны возлагается на директора, его заместителей по направлениям и руководителей структурных подразделений. Ответственность за организацию и осуществление работы по защите коммерческой тайны и проведение постоянного контроля за ее соблюдением возлагается на службу безопасности.
7 Служба безопасности принимает меры по сохранению коммерческой тайны путем максимального ограничения круга лиц, физической сохранности документов, содержащих такие сведения, обработки информации с грифом «КТ» на защищенных ЭВМ, внесения требований по конфиденциальности конкретной информации в договоры с внутренними и внешнеторговыми партнерами и других мер по решению руководства. 1.11. Защита коммерческой тайны предусматривает: • порядок определения информации, содержащей коммерческую тайну, и сроков ее действия; • систему допуска сотрудников, командированных и частных лиц к сведениям, составляющим коммерческую тайну; • порядок работы с документами с грифом «КТ»; • обеспечение сохранности документов, дел и изданий с грифом «КТ»; • обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну; • принципы организации и проведения контроля за обеспечением режима при работе со сведениями, составляющими коммерческую тайну; • ответственность за разглашение сведений, утрату документов, содержащих коммерческую тайну. 1.12. Контроль за осуществлением учета, размножением, хранением и использованием документов, дел и изданий с грифом «КТ» возлагается на уполномоченных службы безопасности. 1.13. Контроль за неразглашением сведений, содержащихся в документах, делах и изданиях с грифом «КТ», осуществляется отделами службы безопасности.
• 2. Порядок определения информации, содержащей коммерческую тайну, и сроков ее деистеия 2.1. Определение необходимости проставления грифа «коммерческая тайна» производится на основании Перечня, указанного в п. 1.2: на документе — исполнителем и лицом, подписывающим документ, а на
Приложение 7 издании — автором (составителем) и руководителем, утверждающим издание к печати. 2.2. Срок действия коммерческой тайны, содержащейся в документе, определяется в каждом конкретном случае исполнителем или лицом, подписавшим документ, в виде конкретной даты, или «до заключения контракта», или «бессрочно». 2.3. На документах, делах и изданиях, содержащих сведения, составляющие коммерческую тайну, проставляется гриф «коммерческая тайна», а на документах и изданиях, кроме того, — номера экземпляров. Гриф «коммерческая тайна» и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке, титульном листе издания и на первой странице сопроводительного письма к этим материалам. На обратной стороне последнего листа каждого экземпляра документа, содержащего коммерческую тайну, печатается разметка, в которой указывается: количество отпечатанных экземпляров, номер, фамилия исполнителя и его телефон, дата, срок действия коммерческой тайны, содержащейся в документе (конкретная дата, «до заключения контракта» или «бессрочно»), фамилия машинистки. 2.4. Решение вопроса о снятии грифа «коммерческая тайна» возлагается на создаваемую в установленном порядла поциальную комиссию, в состав которой включаются представители службы безопасности и соответствующих структурных подразделений. Решение комиссии оформляется составляемым в произвольной форме актом, который утверждается директором или его заместителем по направлению. В акте перечисляются дела, с которых гриф «КТ» снимается. Один экземпляр акта вместе с делами передается в архив, а на дела постоянного хранения — в государственный архив. 2.5. На обложках дел гриф «КТ» погашается штампом или записью от руки с указанием даты и номера акта, послужившего основанием для его снятия. Аналогичные отметки вносятся в описи и номенклатуры дела. 428
Приложение 7
• 3. Система допуска сотрудников, командированным и частных лиц к сведениям, составляющим коммерческую тайну 3.1. Допуск сотрудников к сведениям, составляющим коммерческую тайну, осуществляется директором, его заместителями по направлениям и руководителями структурных подразделений. Руководители подразделений и службы безопасности ответственны за подбор лиц, допускаемых к сведениям с грифом «КТ», обязаны обеспечить систематический контроль за тем, чтобы к этим сведениям получали доступ только те лица, которым такие сведения необходимы для выполнения своих служебных обязанностей. 3.2. К сведениям, составляющим коммерческую тайну, допускаются лица, обладающие необходимыми высоконравственными и деловыми качествами, способные хранить коммерческую тайну, и только после оформления в службе безопасности индивидуального письменного обязательства по сохранению коммерческой тайны. 3.3. Допуск сотрудников к работе с делами с грифом «КТ», имеющих к ним непосредственное отношение, производится в соответствии с оформленным на внутренней стороне обложки списком за подписью руководителя структурного подразделения, а к документам — согласно указаниям, содержащимся в резолюциях руководителей подразделений. 3.4. Командированные и частные лица допускаются к ознакомлению и работе с документами и изданиями с грифом «КТ» с письменного разрешения руководителей предприятия и подразделений, в ведении которых находятся эти материалы, при наличии письменного запроса тех организаций, в которых они работают, с указанием темы и объема выполняемого задания, а также предписания на выполнение задания. Выписки из документов и изданий, содержащих сведения с грифом «КТ», производятся в тетрадях, имеющих такой же гриф, и после окончания работы представителя высылаются в адрес организации. 3.5. Дела и издания с грифом «КТ» выдаются исполнителям и принимаются от них под расписку в «Карточке учета выдаваемых дел и изданий» (форма 4).
• 4. Порядок работы с документами с грифом »КТ» 4.1. Документы, содержащие сведения, составляющие коммерческую тайну, подлежат обязательной регистрации в канцелярии службы безопасности или в общем делопроизводстве подразделения уполномоченным службы безопасности. Они должны иметь реквизиты, предусмотренные п. 2.3, и гриф «КТ» (или полностью «коммерческая тайна»). На документах, передаваемых иностранцам, гриф «КТ» не проставляется. Полученные от иностранцев документы маркируются грифом «КТ» графитным карандашом. В тексте документа и его реквизитах дополнительно могут оговариваться права на информацию, порядок пользования ею, сроки ограничения на публикацию и др. Отсутствие грифа «КТ» и предупредительных оговорок в тексте и реквизитах означает свободную рассылку и предполагает, что автор информации и должностное лицо, санкционирующее (подписавшее, утверждавшее документ) ее распространение, предусмотрели все возможные последствия от свободной рассылки и несут за это всю полноту ответственности. 4.2. Вся поступающая корреспонденция с,грифом «КТ» или другими грифами, указанными в п. 1.2, принимается и вскрывается сотрудниками канцелярии, которым поручена работа с этими материалами. При этом проверяется количество листов и экземпляров документов и изданий, а также наличие указанных в сопроводительном письме приложений. В случае отсутствия в конвертах (пакетах) документов «КТ» или приложений к ним составляется акт в двух экземплярах, один из которых отправляется адресанту. 4.3. Регистрации подлежат все входящие, исходящие и внутренние документы, а также издания с грифом «КТ». Такие документы учитываются по количеству листов, а издания (книги, журналы, брошюры) — поэкземплярно. 4.4. Учет документов и изданий с грифом «КТ» ведется в журналах (форма 1) или на карточках (форма 2) отдельно от учета другой несекретной документации.
Приложение 7 Листы журналов нумеруются, прошиваются и опечатываются. Издания, которые не подшиваются в дела, учитываются в журнале инвентарного учета (форма 5). Движение документов и изданий с грифом «КТ» должно своевременно отражаться в журналах или на карточках. 4.5. На каждом зарегистрированном документе, а также на сопроводительном листе к изданиям с грифом «КТ» проставляется штамп, в котором указываются наименование, регистрационный номер документа и дата его поступления. 4.6. Тираж издания с грифом «КТ», полученный для рассылки, регистрируется под одним входящим номером в журнале учета и распределения изданий (форма 3). .„' Дополнительно размноженные экземпляры документа (издания) учитываются за номером этого документа (издания), о чем делается отметка на размножаемом документе (издании) и в учетных формах. Нумерация дополнительно размноженных экземпляров производится от последнего номера ранее учтенных экземпляров. 4.7. Печатание материалов с грифом «КТ» производится в бюро оформления технической документации или в структурных подразделениях под ответственность их руководителей. 4.8. Отпечатанные и подписанные документы с грифом «КТ» вместе с их черновиками и вариантами передаются для регистрации сотруднику канцелярии, осуществляющему их учет. Черновики и варианты уничтожаются этим сотрудником с подтверждением факта уничтожения записью на копии исходящего документа: «Черновик (и варианты) уничтожены». Дата. Подпись. 4.9. Размножение документов и изданий с грифом «КТ» в типографиях и на множительных аппаратах производится с разрешения службы безопасности и под контролем канцелярии по заказам, подписанным руководителем подразделения и утвержденным заместителем директора по направлению. Учет размноженных документов и изданий осуществляется поэкземплярно в специальном журнале. 4.10. Рассылка документов и изданий с грифом «КТ» осуществляется на основании подписанных руководи-
Приложение 7 телем структурного подразделения разнарядок с указанием учетных номеров отправляемых экземпляров. 4.11. Документы с грифом «КТ» после исполнения группируются в отдельные дела. Порядок их группировки предусматривается номенклатурами дел несекретного делопроизводства. В номенклатуру дел в обязательном порядке включаются все справочные картотеки и журналы и издания с грифом «КТ». 4.12. При пользовании открытой радиосвязью запрещается передавать сведения, имеющие гриф «КТ». Такие сведения могут передаваться только по закрытым техническим средствам связи или по открытой телетайпной связи с проставлением на документах и телеграммах соответствующего штампа. При пользовании проводной связью запрещается указывать должности адресатов отправителей, разрешается указывать только телеграфные адреса и фамилии отправителей и получателей. 4.13. Снятие копий (рукописных, машинописных, микро- и фотокопий, электрографических и др.), а также производство выписок из документов и изданий с грифом «КТ» сотрудниками производится по разрешению руководителей подразделений. Снятие копий для сторонних организаций с документов и изданий с грифом «КТ» производится на основании письменных запросов по разрешению руководителей подразделений, подготовивших эти документы и издания. Аналогично отметки вносятся в описи и номенклатуры дел. 4.14. Порядок работы на ЭВМ при обработке информации с грифом «КТ» осуществляется в соответствии с требованиями «Инструкции о порядке работы на ПЭВМ при обработке несекретной информации».
• 5. Обеспечение сохранности документов, дел и изданий 5.1. Документы, дела и издания с грифом «КТ» должны храниться в служебных помещениях и библиотеках в надежно запираемых и опечатываемых шкафах (хранилищах). При этом должны быть созданы надле-
Приложение 7
434
жащие условия, обеспечивающие их физическую сохранность. 5.2. Выданные для работы дела с грифом «КТ» подлежат возврату в канцелярию или уполномоченному службы безопасности в тот же день. Отдельные дела с грифом «КТ» с разрешения начальника канцелярии или уполномоченного службы безопасности могут находиться у исполнителя в течение срока, необходимого для выполнения задания, при условии полного обеспечения их сохранности и соблюдения правил хранения. 5.3. Передача документов, дел и изданий с грифом «КТ» другим сотрудникам, допущенным к этим документам, производится только через канцелярию или уполномоченного службы безопасности. 5.4. Запрещается изъятие из дел или перемещение документов с грифом «КТ» из одного дела в другое без санкции канцелярии или уполномоченного службы безопасности, осуществляющего их учет. Обо всех проведенных изъятиях или перемещениях делаются отметки в учетных документах, включая внутренние описи. 5.5. Запрещается выносить документы, дела и издания с грифом «КТ» из служебных помещений для работы с ними дома, в гостиницах и т. д. В необходимых случаях директор, его заместители по направлениям или руководители структурных подразделений могут разрешить исполнителям или сотрудникам канцелярии вынос из здания документов с грифом «КТ» для их согласования, подписи и т. д. в организации, находящиеся в пределах данного города. 5.6. Лицам, командированным в другие города, запрещается иметь при себе в пути следования документы, дела или издания с грифом «КТ». Эти материалы должны быть направлены заранее в адрес организации по месту командировки сотрудника, как правило, заказными или ценными почтовыми отправлениями, а также с курьерами. 5.7. При смене сотрудников, ответственных за учет и хранение документов, дел и изданий с грифом «КТ», составляется по произвольной форме акт приема-передачи этих материалов, утверждаемый заместителями директора по направлениям или руководителями структурных подразделений.
• 6. Обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну 6.1. Лица, допущенные к работам, документам и сведениям, составляющим коммерческую тайну, несут личную ответственность за соблюдение ими установленного режима. Прежде чем получить доступ к коммерческой информации, они должны изучить требования настоящей инструкции и других нормативных документов по защите коммерческой тайны в части, их касающейся, сдать зачет на знание указанных требований и дать индивидуальное письменное обязательство по сохранению коммерческой тайны. 6.2. Лица, допущенные к работам, документам и сведениям, составляющим коммерческую тайну, обязаны: а) строго хранить коммерческую тайну, ставшую им известной по службе или работе или иным путем, пресекать действия других лиц, которые могут привести к разглашению коммерческой тайны. О таких фактах, а также о других причинах или условиях возможной утечки коммерческой тайны немедленно информировать непосредственного начальника и службу безопасности; б) в течение договорного периода не использовать известную коммерческую тайну в своих личных целях, а также без соответствующего разрешения руководства не заниматься любой деятельностью, которая в качестве конкурентного действия может нанести ущерб предприятию, являющемуся владельцем этой коммерческой тайны; в) выполнять только те работы и знакомиться только с теми документами, к которым получили доступ в силу своих служебных обязанностей; знать степень важности выполняемых работ, правильно определять ограничительный гриф документов, строго соблюдать правила пользования ими, порядок их учета и хранения; г) при составлении документов со сведениями, составляющими коммерческую тайну, ограничиваться минимальными, действительно необходимыми в документе этими сведениями; определять количество экземпляров документов в строгом соответ-
Приложение 7 ствии с действительной служебной необходимостью и не допускать рассылки их адресатам, к которым они не имеют отношения; д) на черновиках документов проставлять соответствующий ограничительный гриф и другие необходимые реквизиты. Передавать их для печатания только с письменного разрешения руководителя подразделения; е) после получения из машинописного бюро отпечатанных документов проверять их наличие, сличать эти данные с записями в журнале и расписываться (с указанием даты) за получение отпечатанных документов и черновиков, после чего учесть в канцелярии или у уполномоченного службы безопасности; ж) получать документы с грифом «КТ» лично в канцелярии или у уполномоченного службы безопасности. Своевременно знакомиться с полученными документами и разборчиво расписываться на них с указанием даты ознакомления; з) поступившие документы с грифом «КТ» своевременно направлять для приобщения к делу с соответствующими отметками об исполнении (номер дела, что сделано по документу, дата, подпись) и с резолюцией начальника подразделения; и) сдавать в канцелярию или уполномоченному по службе безопасности исполненные входящие документы, а также предназначенные для рассылки, подшивки в дело, уничтожения и взятия на инвентарный учет под расписку в журналах учета; к) иметь внутреннюю опись документов с грифом «КТ», в которой отводится отдельный раздел, и немедленно вносить с нее все полученные для исполнения документы, хранить их только в рабочей папке, а при выходе в рабочее время из помещения рабочую папку с документами запирать в сейф; л) по окончании работы с документами с грифом «КТ» своевременно возвращать их в канцелярию или уполномоченному службы безопасности; м) об утрате или недостаче документов с грифом «КТ», ключей от сейфов, личных печатей немедленно сообщать в службу безопасности; н) при увольнении, перед уходом в отпуск, отъездом в командировку своевременно сдать или отчитать-
Приложение 7 ся перед канцелярией или уполномоченным за все числящиеся за ним документы; о) ознакомить представителей других учреждений с документами с грифом «КТ» с ведома и с письменного разрешения руководителя подразделения; лично знакомиться с разрешениями указанных руководителей на предписании, в котором должны быть определены вопросы и объем сведений, подлежащих рассмотрению; требовать от командированных лиц расписки на документах, с которыми они ознакомились, или в учетных карточках этих документов; п) документы с грифом «КТ» во время работы располагать так, чтобы исключить возможность ознакомления с ними других лиц, в том числе допущенных к подобным работам и документам, но не имеющих к ним прямого отношения; р) по первому требованию канцелярии и отдела службы безопасности предъявлять для проверки все числящиеся и имеющиеся документы с грифом «КТ»; представлять по требованию начальника отдела устные или письменные объяснения о нарушениях установленных правил выполнения работ с грифом «КТ», учета и хранения документов с грифом «КТ», а также о фактах разглашения сведений с грифом «КТ», утраты документов, содержащих такие сведения.
• 7. Принципы организации и проведения контроля за обеспечением режима при работе со сведениями, содержащими коммерческую тайну 7.1. Контроль за обеспечением режима при работе со сведениями, составляющими коммерческую тайну, осуществляется в целях изучения и оценки фактического состояния сохранности коммерческой тайны, выявления недостатков и нарушений режима при работе с материалами с грифом «КТ», установления причин таких недостатков и нарушений и выработки предложений, направленных на их устранение и предотвращение. 7.2. Контроль за обеспечением режима при работе с материалами с грифом «КТ» осуществляет служба
Иршжеяи 7 безопасности и руководители структурных подразделений. 7.3. Комиссия для проверки обеспечения режима при работе с материалами с грифом «КТ» комплектуется из опытных и квалифицированных работников в составе не менее 2-х человек, имеющих допуск к этой работе. Участие в проверке не должно приводить к необоснованному увеличению осведомленности проверяющих об этих сведениях. 7.4. Проверки обеспечения режима при работе с материалами с грифом «КТ» проводятся не реже одного раза в год комиссиями на основании предписания, подписанного директором или его заместителем по направлению. 7.5. Проверки проводятся в присутствии руководителя структурного подразделения или его заместителя. 7.6. Проверяющие имеют право знакомиться со всеми документами, журналами (карточками) учета и другими материалами, имеющими отношение к проверяемым вопросам, а также проводить беседы и консультации со специалистами и исполнителями, требовать представления письменных объяснений, справок, отчетов по всем вопросам, входящим в компетенцию комиссии. 7.7. По результатам проверок составляется акт (справка) с отражением в нем состояния режима при работе с материалами с грифом «КТ», выявленных недостатков и нарушений, предложений по их устранению. С актом после утверждения его директором или заместителем под роспись знакомится руководитель структурного подразделения. 7.8. Об устранении выявленных в результате проверки недостатков и нарушений в режиме при работе с материалами с грифом «КТ» и реализации предложений руководитель подразделения в установленные комиссией сроки сообщает начальнику службы безопасности. 7.9. В случае установления факта утраты документов, дел и изданий с грифом «КТ» либо разглашения содержащихся в них сведений немедленно ставятся в известность директор, его заместители по направлениям и начальник службы безопасности.
Приложение 7 ДЛЯ расследования факта утраты документов, дел и изданий с грифом «КТ» при установлении факта разглашения сведений, содержащихся в этих материалах, приказом директора (распоряжением руководителя структурного подразделения) назначается комиссия, заключение которой о результатах расследования утверждается руководителем, создавшим данную комиссию. На утраченные документы, дела и издания с грифом «КТ» составляется акт. Соответствующие отметки вносятся в учетные документы. Акты на утраченные дела постоянного хранения после их утверждения директором или его заместителями по направлениям передаются в архив для включения в дело фонда.
• 8. Ответственность за разглашение, утрату документов, содержащих коммерческую тайну 8.1. Разглашение сведений, составляющих коммерческую тайну, — это предание огласке сведений лицом, которому эти сведения были доверены по службе, работе или стали известны иным путем, в результате чего они стали достоянием посторонних лиц. 8.2. Утрата документов, содержащих сведения коммерческой тайны, — это выход (в том числе и временный) документов из владения ответственного за их сохранность лица, которому они были доверены по службе или работе, являющийся результатом нарушения установленных правил обращения с ними, вследствие чего эти документы стали или могли стать достоянием посторонних лиц. 8.3. Иные нарушения режима при работе с материалами коммерческой тайны — это нарушение требований, могущее привести к разглашению этих сведений, утрате документов, содержащих такие сведения. 8.4. За утрату и незаконное уничтожение документов, дел и изданий с грифом «КТ», за разглашение сведений, содержащихся в этих материалах, а также за нарушение требований виновные лица привлекаются к ответственности в установленном порядке.
439
Приложение 7 Приложения: 1. Договорное обязательство 2. Форма № 1 3. Форма № 2 4. Форма № 3 5. Форма № 4 6. Форма № 5 7. Типовой договор на комплексное режимное обслуживание 8. Типовой акт приемки выполнения договорных обязательств Договорное обязательство Я, v (фамилия, имя, отчество)
оформляясь на работу,
(должность, подразделение)
обязуюсь: а) в период работы не разглашать сведения, составляющие коммерческую тайну, которые мне будут доверены или станут известны при исполнении служебных обязанностей; б) беспрекословно и аккуратно выполнять относящиеся ко мне требования приказов, инструкций и положений по защите коммерческой тайны, с которыми я ознакомлен; в) не сообщать устно или письменно кому бы то ни было сведения, составляющие коммерческую тайну; г) в случае увольнения не разглашать и не использовать для себя или других сведения, составляющие коммерческую тайну. Я предупрежден, что в случае нарушения данного обязательства должен возместить ущерб или буду привлечен к дисциплинарной или уголовной ответственности в соответствии с законодательством. Проинструктировал « » 20 г.
(подпись)
Форма № 1
Журнал учета документов и изданий с грифом «Коммерческая тайна» Порядковый номер (вход, исход.)
Дата поступления и индекс документа
1
Дата и индекс документа
2
Откуда поступил или куда направлен
3
Наименование документа и краткое содержание
4
5
Количество документа
листов приложения
7
6
Количеств'о и номера экземпляров
S
(продолжение) Резолюция или кому направлен на исполнение 9
Дата и расписка Отметка о взятии о возна контроль в полуи'срок исполнения чении врате 10
11
12
Индекс (номер) дела, куда подшит документ 13
Отметка об уничтожении 14
Примечание
15
Приложение 7 Форма № 2
Карточка учета входящих (исходящих) документов и изданий с грифом «КТ»
Вход, (исход.) номер в гриф
Дата регистрации
Исход, номер и дата поступившего документа
Количество основного документа
листов
приложения
Наименование отправителя: Краткое содержание:
Подшивка номер дела
Регистрация
номер листов
ПОДПИСИ
вид
приложения
инв. №
подписи о сверке, дата
о сверке, дата
Отметка о сверках наличия Карточка проверена, все позиции закрыты
(подпись)
(лицевая сторона)
Движение Дата
Количество основных приложении
Кому выдан или куда отправлен
Роспись в получении или № реестра
Подписи о сверке, дата
Для разных отметок: (оборотная сторона)
442
Дата возврата
Роспись в приеме или отм. о возврате
Форма № 3
Журнал учета и распределения изданий с грифом «КТ»
Наименование п/п
1
издания
2
Издано или поступило откуда поступило и где отпечатано
вход. № сопроводит, письма и дата
кол-во экз. и № экз.
3
4
5
Распределение куда и кому № исх. кол-во направлено докум. (или экз. и >fe экз. (или выдано) расписка в получении) и дата
6
7
8
Возврат
Уничтожение
дата, № экз.
дата, № акта
9
10
Форма № 4
Карточка учета выдаваемых дел и изданий с грифом «КТ»
Форма № 5
Журнал учета служебных изданий с грифом «КТ»
Приложение 7 Коммерческая тайна Экз. № ДОГОВОР №
коллективного подряда на комплексное режимное обслуживание предприятия Настоящий договор заключен между предприятием в лице директора и коллективом службы безопасности • в лице зам. директора — начальника службы безопасности о нижеследующем: 1. Служба безопасности берет на себя выполнение нижеперечисленных работ по обеспечению безопасности и сохранения коммерческой тайны предприятия: 1.1. Круглосуточная охрана предприятия и контроль за соблюдением мёр пожарной безопасности. 1.2. Выписка пропусков для сотрудников предприятия. 1.н. Прием командированных, выписка пропусков для них. 1.4. Выписка предписаний для выполнения заданий командируемым сотрудникам и выдача справок о допуске. 1.5. Разработка номенклатуры должностей, подлежащих согласованию с контрольными органами, и оформление допусков. й 6. Подготовка по представлению директора перечня сведений, составляющих коммерческую тайну, приказов, инструкций о сохранении коммерческой тайны предприятия. 1.7. Оказание услуг по передаче корреспонденции по телетайпу, телексу, телефаксу и другим системам связи. 1.8. Прием, учет и рассылка открытой корреспонденции. 2. Директор предприятия обязуется: 2.1. За работы, перечисленные в настоящем договоре, производить оплату из своих фондов по ведомости на работников службы безопасности в размере рублей ежемесячно. 2.2. Принимать работы по акту, утвержденному директором и зам. директора — начальником службы безопасности .
Приложение У 2.3. Обязать сотрудников предприятия выполнять все режимные требования, предусмотренные инструкцией по обеспечению сохранения коммерческой тайны. 2.4. При определении грифа документов руководствоваться ограничительными перечнями сведений, обязательными для исполнителей. 2.5. Немедленно представлять в службу безопасности сведения о вступлении в связь с инофирмами. 3. Настоящий договор заключается на календарный год, с 01.01.20 г. до 31.12.20 г., готовится в 2-х экземплярах, каждый экземпляр хранится у директора и в службе безопасности. Директор предприятия
« »
20
Зам. директора — начальник службы безопасности
г.
«
»
20
г.
20
г.
АКТ
о выполнении работ по Договору № «
»
Комиссия в составе представителя предприятия в лице его директора и представителя коллектива безопасности в лице зам. директора — начальника службы безопасности провели работу по установлению фактического выполнения коллективом службы безопасности договора № коллективного подряда на комплексное режимное обслуживание за 20 г. В результате проверки комиссия установила, что все работы по договору в 20 г. выполнены качественно, в полном объеме и в установленные сроки. К акту прилагается ведомость на выплату. Директор предприятия
44В « »
20 г.
Зам. директора — начальник службы безопасности
« »
20 г.
Приложение 8 КАТАЛОГ
обобщенных мероприятий по защите конфиденциальной информации В каталоге рассматриваются обобщенные мероприятия по защите конфиденциальной информации от разглашения, утечки по техническим каналам и от несанкционированного доступа со стороны злоумышленников, конкурентов и иных субъектов противоправных интересов. Каталог состоит из трех разделов: 1. Мероприятия по предупреждению разглашения конфиденциальной информации. 2. Мероприятия по защите информации от утечки по техническим каналам. 3. Мероприятия по пресечению несанкционированного доступа к конфиденциальной информации. Мероприятия по предупреждению разглашения конфиденциальной информации РАЗГЛАШЕНИЕ — умышленные или неосторожные действия должностных лиц и граждан, приводящие к оглашению конфиденциальной информации, доверенной им по службе, и ознакомлению с ней лиц, не имеющих на это права. РАЗГЛАШЕНИЕ выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и других способах и реализуется по каналам распространения и средствам массовой информации. ПРЕДУПРЕЖДЕНИЕ РАЗГЛАШЕНИЯ — это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого оглашения конфиденциальной информации.
6.
ДЕЙСТВИЯ
Способы разглашения
v/kuuciinuv i и
Личное общение
1. На встречах
1. Соблюдение требований о неразглашении конфиденциальной информации
2. При телефонных переговорах
1. Запрещение ведения частных переговоров по служебным телефо-
Организационные
нам
7.
Утеря, утрата документов
1. На работе
1. Строгий учет и контроль за разработкой, использованием, хранением документов конфиденциального характера 2. Служебное расследование
2. За пределами работы
1. Запрет на вынос служебных документов за пределы организации без надлежащих мер по защите 2. Служебное расследование
Организационнотехнические
Технические
1. Запись переговоров по служебным телефонам на магнитофон
1. Мониторинг телефонных переговоров специальными системами контроля
2. Использование аппаратуры закрытия телефонных переговоров
Бесконтрольная разработка документов
Бесконтрольный документооборот
1. Необоснованное изготовление документов
1. Регламентация состава конфиденциальных документов
1. Программный контроль изготовления документов на ПЭВМ
2. Включение в обычные документы сведений конфиденциального характера
1. Контроль за содержанием документов
1. Программный контроль за содержанием документов
2. Контроль за степенью секретности документов
1. Программный контроль секретности документов
1. Необоснованная рассылка документов
1. Контроль размножения и рассылки документов
1. Программный контроль изготовления и рассылки документов почтой, средствами телекоммуникации и электронной почты
2. Необоснованное ознакомление с конфиденциальными документами сотрудников
1.Контроль ознакомления сотрудников с конфиденциальными документами с учетом системы разграничения допуска 2. Контроль передачи документов исполнителям ничентроль за порядком работы с конфиденциальными документами
1. Программный контроль допуска сотрудников к конфиденциальной информации 1. Контроль исполнения документов
/пп
Особенности
ДЕЙСТВИЯ
JViNt
Способы разглашения
10.
Бесконтрольное хранение и уничтожение документов
1. Обеспечение сохранности документов 2. Своевременное уничтожение документов
Бесконтрольный прием поступающей корреспонденции
1. Строгий учет поступающих документов 2. Своевременное доведение поступивших документов до руководства и исполнителей
п/п
11.
Организационные
Органиэацноннотехническяе
Технические
1. Использование технических средств механического уничтожения документов
1. Своевременное программное уничтожение документов на ПЭВМ
Мероприятия по защите информации от утечки по техническим каналам УТЕЧКА — это бесконтрольный выход конфиденциальной информации за пределы организации или крута лиц, которым она была доверена в установленном порядке. УТЕЧКА возможна по различным техническим каналам утечки информации, в частности по визуально-оптическим, акустическим, электронным и материально-вещественным. ЗАЩИТА ИНФОРМАЦИИ ОТ УТЕЧКИ — это комплекс мероприятий, исключающих образование технических каналов утечки конфиденциальной информации.
р
6. За счет взаимного влияния проводов и линий связи
свИсключить параллельный пробег телефонных проводов и линий связи, по которым ведется передача конфиденциальной информации
7. За счет высокочастотного навязывания
1. Исследование возможностей образования каналов утечки информации за счет ВЧ-навязывания 1. Контроль возможного- образования каналов утечки по волоконно-оптическим каналам
8. По волоконно-оптическим каналам связи
Материальновещественные
1. Бесконтрольный выход продуктов отхода производства за пределы территории предприятия 2. Бесконтрольный выход отходов информационных технологий за пределы территории предприятия
1. Строгий контроль и ограничение (исключение) выхода продуктов отхода производства за пределы территории предприятия 1. Организация уничтожения информации на технических носителях
1. Использование экранированных кабелей 2. Использование различных приемов прокладки проводов, ослабляющих взаимное влияние
1. ИскСтрогое соблюдение требований по соблюдению мер защиты от утечки информации 1. Исключение отходов в качестве вторичного сырья 2. Утилизация отходов
1. Системы безотходного производства 2. Система очистки жидких и газообразных веществ 1. Установки уничтожения информации на неисправных носителях
Мероприятия по пресечению несанкционированного доступа к конфиденциальной информации НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП к источникам конфиденциальной информации — это противоправное преднамеренное овладение охраняемыми сведениями лицом, не имеющим права доступа к ним. НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП (НСД) реализуется различными способами посредством каналов проникновения на объекты криминальных интересов. ПРЕСЕЧЕНИЕ несанкционированного доступа — это комплекс мероприятий, исключающих или ослабляющих возможность проникновения к коммерческим секретам заходовыми и беззаходовыми способами. ПРОТИВОДЕЙСТВИЕ
Способ несанкционированного доступа
Особенности
1.
Инициативное сотрудничество
1. Условия, провоцирующие инициативное сотрудничество
1. Исключение условий, способствующих инициативному сотрудничеству 2. Анализ и контроль социальных условий в трудовых коллективах 3. Изучение сотрудников, потенциально способных к инициативному сотрудничеству
2.
Склонение к сотрудничеству
1. Шантаж, запугивание, подкуп
1. Изучение сотрудников, представляющих интерес для конкурентов и преступных групп
в/п
Организационные меры
Организационнотехнические меры 1. Использование технических средств контроля социально-морального климата
Технические меры
Выпытывание, выведывание
Подслушивание
СП
1. Провоцирование на разговоры сотрудников на служебные темы на работе, в общественных местах, на отдыхе и др. 2. Выведывание при ведении телефонных разговоров
1.. Обучение и воспитание кадров в направлении строгого соблюдения требований по защите коммерческих сек1.тов
1. Подслушивание конфиденциальных разговоров руководства и сотрудников в помещениях 2. Подслушивание конфиденциальных переговоров в автотранспорте 3. Подслушивание конфиденциальных разговоров на открытой местности
1. Ведение конфиденциальных разговоров в специальных помещениях
1. Оборудование помещений шумопогашакь щими средствами 2. Постановка акустических помех
1. Запрет на ведение конфиденциальных переговоров в автотранспорте
1. Использование средств постановки акустических помех
1. Информирование сотрудников о возможности использования злоумышленниками направленных микрофонов
1. Использование портативных магнитофонов для контроля записей и последующего анализа на предмет выявления злонамеренных действий 1. Использование специальных магнитофонов для записи и анализа злонамеренных действий
1. Использование аппаратуры контроля телефонных переговоров
1. Использование специальных систем ведения конфиденциальных бесед (переговоров)
№№ Способ несанкп/п ционированного доступа
Особенности
5.
1. Использование злоумышленником визуальных средств наблюдения за состоянием и деятельностью предприятия (организации)2. Использование злоумышленником оптических средств наблюдения 1. Первичных документов
6.
Визуальное наблюдение
Хищение
2. Носителей конфиденциальной информации
Организационные меры 2. Ведение переговоров с использованием маскирующих свойств местности 1.Использование штор, занавесей, драпировок
ПРОТИВОДЕЙСТВИЕ Организационнотехнические меры
Технические меры
1. Использование специальных стекол
1. Постановка ских помех
1. Строгий учет и контроль разработки движения и уничтожения4 документов
1. Строгий учет и контроль движения технических носителей информации организационно-техническими мерами
оптиче-
1. Широкое использование программных методов обеспечения защиты информации
3. Промежуточных документов 4. Исходящих документов 5. Производственных отходов
Копирование
Подделка (модификация)
1. Копирование документов
1. Подделка деловых документов
2. Подделка финансовых документов 3. Подделка личных документов
1. Строгая регламентация правил сбора и уничтожения отходов 1. Регламентация и учет разработки, размножения и рассылки конфиденциальных документов
1. Установка специальных ящиков для отходов производства
1. Использование аппаратуры и оборудования для уничтожения отходов производства
2. Копирование данных и программ на ЭВМ
1. Строгая регламентация технологий обработки информации 2. Учет и регистрация режимов работы и выдачи документов
1. Использование программной защиты от несанкционированных действий с конфиденциальной информацией при работе на ПЭВМ
1. Строгий контроль изготовления, учета и рассылки документов
1. Использование специальных средств подтверждения подлинности документов (специальные чернила и краски и др.)
1. Использование специальной аппаратуры обнаружения исправлений и подделки документов
1. Использование специальных методов изготовления личных документов
р
I
11.
Перехват
1. Перехват информации, передаваемой по системам радиосвязи 2. Перехват информации за счет побочных электромагнитных излучений и наводок
1. Использование методов скрытного ведения сеансов связи 2.Запрещение ведения переговоров конфиденциального характера 1. Проведение мероприятий по исключению образования побочных электромагнитных излучений
12.
Негласное ознакомление
1. С документами 2.С информацией на экранах ПЭВМ
1. Организация работы с документами, исключающая возможность ознакомления с их содержанием
13.
Фотографирование
1. Документов
1. Организация работы с документами, исключающая возможность ознакомления с их содержанием
14.
Сбор и аналитическая обработка
2. Продукции
1. Разработка системы мер по сокрытию конфиденциальной информации 2. Четко организованная работа по дезинформированию злоумышленников
1. Использование технических средств засекречивания информации
1. Использование защищенных средств связи
1. Использование способов ослабления ПЭМИН 2. Экранирование помещений
1. Использование активных мер подавления ПЭМИН
2
Приложение 9 ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ. СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (СТР-К) Москва, 2001
Содержание 1. Термины, определения и сокращения 2. Общие положения 3. Организация работ по защите информации 4. Требования и рекомендации по защите речевой информации 4.1. Общие положения 4.2. Основные требования и рекомендации по защите информации, циркулирующей в защищаемых помещениях 4.3. Защита информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов 4.4. Защита информации при проведении звукозаписи 4.5. Защита речевой информации при ее передаче по каналам связи 5. Требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники 5.1. Общие требования и рекомендации 5.2. Основные требования и рекомендации по защите служебной тайны и персональных данных 5.3. Основные рекомендации по защите информации, составляющей коммерческую тайну 5.4. Порядок обеспечения защиты конфиденциальной информации при эксплуатации АС 5.5. Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ 5.6. Защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ 5.7. Защита информации в локальных вычислительных
464 сетях
Приложение В 5.8. Защита информации при межсетевом взаимодействии 5.9. Защита информации при работе с системами управления базами данных 6. Рекомендации по обеспечению защиты информации, содержащейся в негосударственных информационных ресурсах, при взаимодействии абонентов с информационными сетями общего пользования 6.1. Общие положения 6.2. Условия подключения абонентов к Сети 6.3. Порядок подключения и взаимодействия абонентских пунктов с Сетью, требования и рекомендации по обеспечению безопасности информации 7. Приложения № 1. Акт классификации АС обработки информации № 2. Аттестат соответствия требованиям по безопасности информации на АС № 3. Аттестат соответствия требованиям по безопасности информации на ЗП № 4. Форма технического паспорта на ЗП № 5. Форма технического паспорта на АС № 6. Пример оформления перечня сведений конфиденциального характера № 7. Основные нормативные правовые акты и методические документы по защите конфиденциальной информации
• 1. Термины, определения и сокращения В настоящем документе приняты следующие основные термины, определения и сокращения: 1.1. Абонент Сети — лицо, являющееся сотрудником учреждения (предприятия), имеющее соответствующим образом оформленное разрешение и технические возможности на подключение и взаимодействие с Сетями. 1.2. Абонентский пункт (АП) — средства вычислительной техники учреждения (предприятия), подключаемые к Сетям с помощью коммуникационного оборудования. АП могут быть в виде автономных персональных электронно-вычислительных машин (ПЭВМ) с модемом и не иметь физических каналов связи с другими средствами вычислительной техники (СВТ) предприятия, a
:
Приложение 9
также в виде одной или нескольких объединенных локальных вычислительных сетей (ЛВС) с рабочими станциями и серверами, соединенных с Сетями через коммуникационное оборудование (модемы, мосты, шлюзы, маршрутизаторы-роутеры, мультиплексоры, коммуникационные серверы и т.п.). 1.3. Автоматизированная система (АС) —система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. 1.4. Администратор АС — лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы. 1.5. Администратор защиты (безопасности) информации — лицо, ответственное за защиту автоматизированной системы от несанкционированного доступа к информации. 1.6. Безопасность информации — состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами. 1.7. Вспомогательные технические средства и системы (ВТСС) — технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых помещениях. К ним относятся: • различного рода телефонные средства и системы; • средства и системы передачи данных в системе радиосвязи; • средства и системы охранной и пожарной сигнализации; • средства и системы оповещения и сигнализации; • контрольно-измерительная аппаратура; • средства и системы кондиционирования; • средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, систе-
Приложение 9
___
мы радиовещания, телевизоры и радиоприемники и т.д.); • средства электронной оргтехники; • средства и системы электрочасофикации; • иные технические средства и системы. 1.8. Доступ к информации (доступ) — ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации. 1.9. Доступность (санкционированная доступность) информации — состояние информации, характеризуемое способностью технических средств и информационных технологий обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия. 1.10. Закладочное устройство — элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации). 1.11. Защита информации от несанкционированного доступа (защита от НСД) или воздействия — деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию) с нарушением установленных прав или правил. 1.12. Специальный защитный знак (СЗЗ) — сертифицированное и зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности СЗЗ, путем сравнения самого знака или композиции «СЗЗ — подложка» по критериям соответствия характерным признакам визуальными, инструментальными и другими методами. 1.13. Защищаемые помещения (ЗП) — помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.). 1.14. Информативный сигнал — электрические сигналы, акустические, электромагнитные и другие
Приложение 9 физические поля, по параметрам которых может быть раскрыта конфиденциальная информация, передаваемая, хранимая или обрабатываемая в основных технических средствах и системах и обсуждаемая в ЗП. 1.15. Информационные сети общего пользования (далее Сети) — вычислительные (информационно-телекоммуникационные) сети, открытые для пользования всем физическим и юридическим лицам, в услугах которых этим лицам не может быть отказано. 1.16. Контролируемая зона (КЗ) — это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового пропуска, и посторонних транспортных средств. Границей КЗ могут являться: • периметр охраняемой территории учреждения (предприятия); • ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории. В отдельных случаях, на период обработки техническими средствами конфиденциальной информации, КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне. 1.17. Конфиденциальная информация — информ17. ция содержащая сведения, не составляющие государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. 1.18. Локальная вычислительная сеть (ЛВС) — совокупность ЭВМ, сетевого оборудования и структурированной кабельной системы, осуществляющая обмен информации с другими информационными системами, в том числе с ЛВС, через определенные точки входа/ выхода информации, которые являются границей ЛВС. 1.19. Межсетевой экран (МЭ) — это локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство 468 (комплекс), реализующее контроль за информацией,
Приложение 8 поступающей в АС и/или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в / из АС на основе заданных правил, проведя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. 1.20. Несанкционированный доступ (несанкционированные действия) (НСД) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. 1.21. Основные технические средства и системы (ОТСС) — технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. В контексте настоящего документа к ним относятся технические средства и системы автоматизированных систем различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и передачи данных, используемые для обработки конфиденциальной информации. 1.22. Провайдер Сети — уполномоченная организация, выполняющая функции поставщика услуг Сети для абонентского пункта и непосредственно для абонентов Сети. 1.23. Система защиты информации от НСД (СЗИ НСД) — комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в автоматизированных системах. 1.24. Служебная информация СЗИ НСД — информационная база АС, необходимая для функционирования СЗИ НСД (уровень полномочий эксплуатационного персонала АС, матрица доступа, ключи, пароли и т.д.). 1.25. Технический канал утечки информации — совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Приложение а 1.26. Техническая защита конфиденциальной информации (ТЗИ) — защита информации некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования. 1.27. Услуги Сети — комплекс функциональных возможностей, предоставляемых абонентам сети с помощью прикладных протоколов (протоколы электронной почты, FTP — File Transfer Protocol — прием/передача файлов, HTTP — Hiper Text Transfer Protocol — доступ к Web-серверам, IRC — Internet Relay Chat — диалог в реальном времени, Telnet — терминальный доступ в сети, WAIS — Wide Area Information Servers — система хранения и поиска документов в сети и т.д.). 1.28. Целостность информации — устойчивость информации к несанкционированному или случайному бездействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации. 1.29. Web-сервер — общедоступный в Сети информационный сервер, использующий гипертекстовую технологию.
• 2. Общие положения 2.1. Настоящий документ устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее конфиденциальная информация) на территории Российской Федерации. 2.2. Документ разработан на основании федеральных законов «Об информации, информатизации и защите информации», «Об участии в международном - информационном обмене», Указа Президента Российской Федерации от 06.03.97 г. № 188 «Перечень сведений конфиденциального характера», «Доктрины ин. . . формационной безопасности Российской Федерации», утвержденной Президентом Российской Федерации
Приложение 8 09.09.2000 г. № 1895, «Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти», утвержденного постановлением Правительства Российской Федерации от 03.1.9.94 г. № 1233, других нормативных правовых актов по защите информации (Приложение № 7), а также опыта реализации мер защиты информации в министерствах и ведомствах, в учреждениях и на предприятиях. 2.3. Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования. Защита государственных информационных ресурсов криптографическими методами в настоящем документе не рассматривается. Для негосударственных информационных ресурсов (составляющих коммерческую, банковскую тайну и т.д.) данный документ носит рекомендательный характер. 2.4. Информационные ресурсы, являющиеся собственностью государства, находятся в ведении органов государственной власти и организаций в соответствии с их компетенцией, подлежат учету и защите. Режим защиты конфиденциальной информации устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с законодательством Российской Федерации. Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцированно по результатам обследования объекта информатизации, с учетом соотношения затрат на организацию технической защиты информации и величины ущерба, который может быть нанесен собственнику конфиденциальной информации (информационных ресурсов) при (ее) их разглашении, утрате, уничтожении, искажении, блокировании. Для персональных данных и сведений, составляю- __. щих служебную тайну, уровень технической защиты 471
Приложение 8 информации должен быть не ниже требований, установленных данным документом и государственными стандартами Российской Федерации. 2.5. Документ определяет следующие основные вопросы защиты информации: • организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации; • состав и основное содержание организационнораспорядительной, проектной, эксплуатационной и иной документации по защите информации; • требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств; • требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств; • порядок обеспечения защиты информации при эксплуатации объектов информатизации; • особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии; • порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования. Порядок разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, определяется Положением ПКЗ-99, утвержденным приказом ФАПСИ от 23.09.99 г. № 158 и зарегистрированным Министерством юстиции Российской Федерации за № 2029 от 28.12.99 г., а также Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 г. № 152, зарегистрированным Министерством юстиции Российской Феде472 рации за № 2848 от 06.08.2001 г.
Приложение 9 2.6. Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в установленном настоящим документом порядке в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации. 2.7. Защите подлежит информация, как речевая, так и обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в АС. Объектами защиты при этом являются: • средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) , средства защиты информации, используемые для обработки конфиденциальной информации; • технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует); • защищаемые помещения. 2.8. Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применения (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкциониро- 4/3
Приложение 9 ванного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств. 2.9. При ведении переговоров и использовании технических средств для обработки и передачи информации возможны следующие каналы утечки и источники угроз безопасности информации: • акустическое излучение информативного речевого сигнала; • электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящим за пределы КЗ; • виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений; • несанкционированный доступ и несанкционированные действия по отношению к информации в автоматизированных системах, в том числе с использованием информационных сетей общего пользования; • воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств; • побочные электромагнитные излучения информативных сигналов от технических средств и линий передачи информации; • наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы КЗ; • радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств,
Приложение 9 * или при наличии паразитной генерации в узлах (элементах) технических средств; • радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации («закладочные устройства»), модулированные информативным сигналом; • радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации; • прослушивание ведущихся телефонных и радиопереговоров; • просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств; • хищение технических средств с хранящейся в них информацией или отдельных носителей информации. 2.10. Перехват информации или воздействие на нее с использованием технических средств могут вестись: из-за границы КЗ из близлежащих строений и транспортных средств; • из смежных помещений, принадлежащих другим учреждениям (предприятиям) и расположенным в том же здании, что и объект защиты; • при посещении учреждения (предприятия) посторонними лицами; • за счет несанкционированного доступа (несанкционированных действий) к информации, циркулирующей в АС, как с помощью технических средств АС, так и через информационные сети общего пользования. 2.11. В качестве аппаратуры перехвата или воздействия на информацию и технические средства могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства съема информации «закладочное устройство», размещаемые внутри или вне защищаемых помещений.
Приложение 9 2.12. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ. Это возможно, например, вследствие: • непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем; • случайного прослушивания телефонных разговоров при проведении профилактических работ в сетях телефонной связи; • некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычислительных сетей; • просмотра информации с экранов дисплеев и других средств ее отображения. 2.13. Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию (угроз безопасности информации) в конкретных условиях, в соответствии с ГОСТ Р 51275-99, составляют основу для планирования и осуществления мероприятий, направленных на защиту информации на объекте информатизации.
476
2.14. Основное внимание должно быть уделено защите информации, в отношении которой угрозы безопасности информации реализуются без применения сложных технических средств перехвата информации: • речевой информации, циркулирующей в защищаемых помещениях; • информации, обрабатываемой средствами вычислительной техники, от несанкционированного доступа и несанкционированных действий; • информации, выводимой на экраны видеомониторов; • информации, передаваемой по каналам связи, выходящим за пределы КЗ. 2.15. Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ.
Приложение 9 Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России либо ФСБ России и ФАПСИ России на право осуществления соответствующих работ. 2.16. Для защиты конфиденциальной информации рекомендуется использовать сертифицированные по требованиям безопасности информации технические средства обработки и передачи информации, технические и программные средства защиты информации. Для защиты информации, составляющей служебную тайну, и персональных данных средства защиты информации должны быть сертифицированы в обязательном порядке. 2.17. Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации*. 2.18. Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей учреждений и предприятий, эксплуатирующих объекты информатизации.
• 3. Организация работ по защите информации 3.1. Организация и проведение работ по технической защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, при ее обработке техническими средствами определяются настоящим документом, действующими государственными стандартами и другими нормативными и методическими документами Гостехкомиссии России. 3.2. Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации, на руководителей подразделений по за* Здесь и далее под аттестацией понимается комиссионная приемка объекта информатизации силами предприятия с обязательным участием специалиста по защите информации.
Приложение 9 щите информации (служб безопасности) учреждения (предприятия). 3.3. Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) системы защиты информации (СЗИ) объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации. 3.4. Разработка СЗИ может осуществляться как подразделением учреждения (предприятия), так и специализированными предприятиями, имеющими лицензии Гостехкомиссии России и/или ФАПСИ на соответствующий вид деятельности. В случае разработки СЗИ или ее отдельных компонентов специализированным предприятием, в учреждении (на предприятии), для которого осуществляется разработка (предприятие-заказчик), определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите конфиденциальной информации. Разработка и внедрение СЗИ осуществляется во взаимодействии разработчика со службой безопасности предприятия-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации. 3.5. Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по защите информации» и должна предусматривать: • порядок определения защищаемой информации; • порядок привлечения подразделений предприятия, специализированных сторонних организаций к
Приложение 9 разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации; • порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов; порядок разработки, ввода в действие и эксплуатацию объектов информатизации; • ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗЙ. 3.6. В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиденциального характера (приложение № 6), подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям. 3.7. Рекомендуются следующие стадии создания системы защиты информации: • предпроектная стадия, включающая1 предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание; стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации; • стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации. 3.8. На предпроектной стадии по обследованию объекта информатизации: • устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации; • определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
479
• определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования; • определяются условия расположения объектов информатизации относительно границ КЗ; • определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения; • определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке; • определяются режимы обработки информации в АС в целом и в отдельных компонентах; • определяется класс защищенности АС; • определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности; • определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации. 3.9. По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ. На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации, в том числе настоящего документа, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ. 3.10. Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера.
9 Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя. 3.11. Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия. Ознакомление специалистов этого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке. 3.12. Аналитическое обоснование необходимости создания СЗИ должно содержать: • информационную характеристику и организационную структуру объекта информатизации; • характеристику комплекса основных и вспомогательных технических средств, программного обес^ печения, режимов работы, технологического про- цесса обработки информации; • возможные каналы утечки информации и перечень мероприятий по их устранению и ограниче- -. нию; •~ перечень предлагаемых к использованию сертифицированных средств защиты информации; • обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации; • оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ; • ориентировочные сроки разработки и внедрения СЗИ; • перечень мероприятий-по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации. Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство 481 16 Безопасность
Приложение 9 создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика. 3.13. Техническое (частное техническое) задание на разработку СЗИ должно содержать: • обоснование разработки;
• исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах; класс защищенности АС; • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации; • конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС; • перечень предполагаемых к использованию сертифицированных средств защиты информации; • обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации; • состав, содержание и сроки проведения работ по этапам разработки и внедрения; • перечень видов работ подрядных организаций-исполнителей; ш перечень предъявляемой заказчику научно-технической продукции и документации. 3.14. Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой безопасности предприятиязаказчика, подрядными организациями и утверждается заказчиком. 3.15. В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации. Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите ин482 формации в соответствии с требованиями руководяще-
Приложение 9 го документа (РД) Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и раздела 5 настоящего документа и оформляется актом. Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен. 3.16. На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются: • разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ; • разработка раздела технического проекта на объект информатизации в части защиты информации; • строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем; • разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями; • закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации либо их сертификация; • закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка; • разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства; • организация охраны и физической защиты помещений объекта информатизации, исключающих
Приложение Я несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации; • разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации; • определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации; • выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации; • разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов); выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации. 3.17. Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком. Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с.17.ми. 3.18. На стадии проектирования и создания объекта информатизации оформляются также технический (техно-рабочий) проект и эксплуатационная документация СЗИ, состоящие из: • пояснительной записки с изложением решений по комплексу организационных мер и программ484 но-техническим средствам обеспечения безопас-
Приложение В ности информации, составу средств защиты информации с указанием их соответствия требованиям ТЗ; описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации; • плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации; • технического паспорта объекта информатизации (форма технического паспорта на АС приведена в приложении № 5); • инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы защиты информации. 3.19. На стадии ввода в действие объекта информатизации и СЗИ осуществляются: • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации; • приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком; • аттестация объекта информатизации по требованиям безопасности информации. 3.20. На этой стадии оформляются: • акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний; • предъявительский акт к проведению аттестационных испытаний; • заключение по результатам аттестационных испытаний. При положительных результатах аттестации на объект информатизации оформляется «Аттестат соответствия требованиям по безопасности информации»
Приложение 8 (форма «Аттестата соответствия» для АС приведена в приложении № 2, для ЗП — в приложении № 3). 3.21. Кроме вышеуказанной документации в учреждении (на предприятии) оформляются приказы, указания и решения: • о проектировании объекта информатизации и назначении ответственных исполнителей; • о формировании группы обследования и назначении ее руководителя; • о заключении соответствующих договоров на проведение работ; • о назначении лиц, ответственных за эксплуатацию объекта информатизации; • о разрешении обработки в АС (обсуждения в ЗП) конфиденциальной информации. 3.22. Для объектов информатизации, находящихся в эксплуатации до введения в действие настоящего документа, может быть предусмотрен, по решению их заказчика (владельца), упрощенный вариант их доработки (модернизации), переоформления организационно-распорядительной, технологической и эксплуатационной документации. Программа аттестационных испытаний такого рода объектов информатизации определяется аттестационной комиссией. Необходимым условием является их соответствие действующим требованиям по защите информации. 3.23. Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, с учетом требований и положений, изложенных в разделах 4 — 6 настоящего документа. 3.24. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособности технических средств, в учреждении (на предприятии) проводится периодический (не реже одного раза в год) контроль состояния защиты информации.
Приложение 8 Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке: • соблюдения нормативных и методических документов Гостехкомиссии России; • работоспособности применяемых средств защиты информации в соответствии с их эксплутационной документацией; • знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации. 3.25. Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. 3.26. При необходимости по решению руководителя предприятия могут быть организованы работы по поиску электронных устройств съема информации («закладочных устройств»), возможно внедренных в ЗП или технические средства, осуществляемые организациями, имеющими соответствующие лицензии ФАПСИ или ФСБ России на конкретный вид деятельности по поиску таких устройств. В организациях Минобороны России работы по поиску электронных устройств съема информации («закладочных устройств»), возможно внедренных в ЗП или технические средства, могут проводиться организациями, допущенными к проведению этих работ в установленном порядке.
• 4. Требования и рекомендации по защите речевой информации 4.1. Общие положения 4.1.1. Требования и рекомендации настоящего раздела направлены на исключение (существенное затруднение) возможности перехвата конфиденциальной речевой информации, циркулирующей в ЗП, в системах звукоусиления (СЗУ) и звукового сопровождения 48/
Приложение 9 кинофильмов (СЗСК), при осуществлении её магнитной звукозаписи и передачи по каналам связи. 4.1.2. Требования настоящего раздела, если не оговорено специально, являются обязательными на всех стадиях проектирования, строительства, оснащения, эксплуатации ЗП и размещенных в них ОТСС и ВТСС, для систем СЗУ и СЗСК. 4.1.3. При проведении мероприятий с использованием конфиденциальной речевой информации и технических средств ее обработки возможна утечка информации за счет: акустического излучения информативного речевого сигнала; • виброакустических сигналов, возникающих посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы ЗП; • прослушивания разговоров, ведущихся в ЗП, по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая и пейджинговая связь, радиотелефоны) за счет скрытного подключения оконечных устройств этих видов связи; • электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящие за пределы КЗ; • побочных электромагнитных излучений информативного сигнала от обрабатывающих конфиденциальную информацию технических средств, в том числе возникающих за счет паразитной генерации, и линий передачи информации; • электрических сигналов, наводимых от обрабатывающих конфиденциальную информацию технических средств и линий ее передачи, на провода и линии, выходящих за пределы КЗ; т радиоизлучений, модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав технических средств, установленных в ЗП, или при наличии паразитной генерации в их узлах (элементах);
Приложение 9 • радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации («закладочных устройств»), закладываемых в ЗП, в технические средства и системы обработки информации. Также следует учитывать возможность хищения технических средств с хранящейся в них информацией или отдельных носителей информации. 4.2. Основные требования и рекомендации по защите информации, циркулирующей в защищаемых помещениях 4.2.1. В учреждении (предприятии) должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП (форма технического паспорта приведена в приложении № 4). 4.2.2. Защищаемые помещения должны размещаться в пределах контролируемой территории учреждения (предприятия). При этом рекомендуется размещать их на максимальном удалении от границ контролируемой зоны, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий). Не рекомендуется располагать ЗП на первых этажах зданий. Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи). 4.2.3. Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС, либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию. Эксплуатация ОТСС, ВТСС должна осуществляться в соответствии с предписаниями и эксплутационной документацией на них. 4.2.4. Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств съема информации («закладочных устройств») проводится при необходимости по решению руководителя предприятия.
Приложение 9 4.2.5. Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио- и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий. 4.2.6. Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования. 4.2.7. Для исключения возможности скрытного подключения ТА и прослушивания ведущихся в ЗП разговоров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являющиеся сотрудниками учреждения (предприятия). В случае необходимости рекомендуется использовать сертифицированные по требованиям безопасности информации цифровые АТС либо устанавливать в эти ЗП аналоговые аппараты или цифровые ТА с вмонтированными в них сертифицированными средствами защиты. 4.2.8. Ввод системы городского радиотрансляционного вещания на территорию учреждения (предприятия) рекомендуется осуществлять через радиотрансляционный узел (буферный усилитель), размещаемый в пределах контролируемой зоны. При вводе системы городского радиовещания без буферного усилителя, в ЗП следует использовать абонентские громкоговорители в защищенном от утечки информации исполнении, а также трехпрограммные абонентские громкоговорители в режиме приема 2-й и 3-й программы (с усилителем). В случае использования однопрограммнбго или трехпрограммного абонентского громкоговорителя в
Приложение 9 режиме приема первой программы (без усиления) необходимо их отключать на период проведения конфиденциальных мероприятий. 4.2.9! В случае размещения электрочасовой станции внутри КЗ использование в ЗП электровторичных часов (ЭВЧ) возможно без средств защиты информации. При установке электрочасовой станции вне КЗ в линии ЭВЧ, имеющие выход за пределы КЗ, рекомендуется устанавливать сертифицированные средства защиты информации. 4.2.10. Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне. В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию. 4.2.11. Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП. Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослуши- . вания вне ЗП разговоров, ведущихся в нем. При этом уровень тестового речевого сигнала должен быть не ниже используемого во время штатного режима эксплуатации помещения. Для обеспечения необходимого уровня звукоизаляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов. Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационно-режимные меры, ограничивая на период проведения конфиденциальных 481
Приложение 9 мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП. 4.2.12. Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (внештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования). Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами. 4.2.13. В случае, если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления. Для этой цели должны применяться сертифицированные средства активной защиты. 4.2.14. При эксплуатации ЗП необходимо предусматривать организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение: • двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ; • выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение; • установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения (предприятия). 4.3. Защита информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов 4.3.1. В качестве оборудования систем звукоусиления, предназначенных для обслуживания проводимых в ЗП закрытых мероприятий, и систем звукового сопровождения кинофильмов, содержащих конфиденци482 альные сведения, необходимо использовать оборудова-
Приложение 9 ние, удовлетворяющее требованиям стандартов по электромагнитной совместимости России, Европейских стран, США (например, ГОСТ 22505-97). В случае необходимости для повышения уровня защищенности рекомендуется применять оборудование, сертифицированное по требованиям безопасности информации или прошедшее специальные исследования и имеющее предписание на эксплуатацию. 4.3.2. Системы звукоусиления должны выполняться по проводной схеме передачи информации экранированными проводами и располагаться в пределах КЗ. С целью уменьшения побочных электромагнитных излучений целесообразно использовать систему звукоусиления с рассредоточенной системой звукоизлучателей, т.е. следует отдавать предпочтение системам с большим количеством оконечных устройств малой мощности перед системами с малым количеством оконечных устройств большой мощности. В качестве оконечных устройств рекомендуется использовать звуковые колонки, выпускаемые в защищенном исполнении. Можно использовать выпускаемые в обычном исполнении громкоговорители с экранированными магнитными цепями (например: 0,5ГДШ-5,0,5ГД-54, 1ГДШ-2, 1ГДШ-6, 1ГДШ-28, 2ГДШ-3,2ГДШ-4, ЗГДШ-1) или укомплектованные ими звуковые колонки (например: 2КЗ-7, 6КЗ-8, 12КЗ-18). В этом случае звуковые колонки (громкоговорители) следует заэкранировать по электрическому полю с помощью металлической сетки с ячейкой не более 2 1 мм , заземляемой через экранирующую оплетку подводящего кабеля. 4.3.3. В системах звукоусиления рекомендуется применять аппаратуру с симметричными входными и выходными цепями. В случае использования аппаратуры с несимметричным выходом линии оконечных устройств следует подключать к оконечным усилителям через симметрирующие трансформаторы, устанавливаемые в непосредственной близости от оконечных усилителей. 4.3.4. В качестве усилительного оборудования рекомендуется использовать усилители в металлических экранах с возможностью их заземления.
493
Приложение 8 4.3.5. Коммутационное и распределительное оборудование (распределительные, входные и выходные щитки подключения) следует размещать в металлических шкафах (коробках). На корпусах шкафов (коробок) необходимо предусмотреть клеммы (винты) для их заземления и приспособления для опечатывания. 4.3.6. Усилительное и оконечное оборудование СЗУ, СЗСК следует размещать на возможно большем расстоянии относительно границы контролируемой зоны. 4.3.7. Система электропитания и заземления должна соответствовать требованиям «Правил устройства электроустановок (ПУЭ)». Рекомендуется электропитание и заземление аппаратуры СЗУ и СЗСК осуществлять от подстанции и на заземлитель, расположенные в пределах КЗ. 4.4. Защита информации при проведении звукозаписи 4.4.1. Запись и воспроизведение конфиденциальной речевой информации аппаратурой звукозаписи разрешается производить только в ЗП. 4.4.2. Для записи (воспроизведения) конфиденциальной информации должны применяться магнитофоны (диктофоны), удовлетворяющие требованиям стандартов по электромагнитной совместимости России, Европейских стран, США (например, ГОСТ 22505-97). Для повышения уровня защищенности информации рекомендуется использовать магнитофоны (диктофоны), сертифицированные по требованиям безопасности информации или прошедшие специальные исследования и имеющие предписание на эксплуатацию. 4.4.3. Носители информации (магнитные ленты, кассеты) должны учитываться и храниться в подразделениях учреждения (предприятия) в порядке, установленном для конфиденциальной информации. В учреждении (предприятии) должно быть назначено должностное лицо, ответственное за хранение и использование аппаратуры звукозаписи конфиденциальной информации, и обеспечено хранение и использование этой аппаратуры, исключающее несанкционированный доступ к ней. 4.5. Защита речевой информации при её передаче по каналам связи
Приложение 9 Передача конфиденциальной речевой информации по открытым проводным каналам связи, выходящим за пределы КЗ, и радиоканалам должна быть исключена. При необходимости передачи конфиденциальной информации следует использовать защищенные линии связи (например, защищенные волоконно-оптические), устройства скремблирования или криптографической защиты. Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.
• 5. Требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники 5.1. Общие требования и рекомендации 5.1.1. Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке и хранении, при ее передаче по каналам связи. 5.1.2. Основными направлениями защиты информации являются: • обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки за счет НСД и специальных воздействий; • обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи. 5.1.3. В качестве основных мер защиты информации рекомендуется: • документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений; • реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам; 485
Приложение 8 • ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации; • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; • регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц; • учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение; • использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки; • необходимое резервирование технических средств и дублирование массивов и носителей информации; • использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; • использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости; • использование сертифицированных средств защиты информации; • размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ; • размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ; • развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал; • электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
Приложение 9 • использование защищенных каналов связи; • размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации; • организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа; • предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок. Обязательность тех или иных мер для защиты различных видов конфиденциальной информации конкретизирована в последующих подразделах документа. 5.1.4. В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, осуществляемого в целях разработки и применения необходимых и достаточных мер и средств защиты информации, проводится классификация автоматизированных систем (форма акта классификации АС приведена в приложении № 1). 5.1.5. Классифицируются АС любого уровня и назначения. Классификация АС осуществляется на основании требований РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и настоящего раздела документа. 5.1.6. Классификации подлежат действующие, но ранее не классифицированные, а также разрабатываемые АС, предназначенные для обработки конфиденциальной информации. 5.1.7. Если АС, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, образуемая при этом АС более высокого уровня классифи-
цируется в целом, а в отношении АС нижнего уровня классификация не производится. Если объединяются АС различных классов защищенности, то интегрированная АС должна классифицироваться по высшему классу защищенности входящих в нее АС, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защищенности. Требования к используемым при этом межсетевым экранам изложены в подразделе 5.9. 5.1.8. При рассмотрении и определении режима обработки данных в АС учитывается, что индивидуальным (монопольным) режимом обработки считается режим, при котором ко всей обрабатываемой информации, к программным средствам и носителям информации этой системы допущен только один пользователь. Режим, при котором различные пользователи, в том числе обслуживающий персонал и программисты, работают в одной АС, рассматривается как коллективный. Коллективным режимом работы считается также и последовательный во времени режим работы различных пользователей и обслуживающего персонала. 5.1.9. В случае, когда признаки классифицируемой АС (п. 1.7. РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации») не совпадают с предложенными в РД (п. 1.9.) группами по особенностям обработки информации в АС, то при классификации выбирается наиболее близкая группа защищенности с предъявлением к АС соответствующих дополнительных требований по защите информации. (Например, однопользовательская АС с информацией различного уровня конфиденциальности по формальным признакам не может быть отнесена к 3 группе защищенности. Однако, если дополнительно реализовать в такой системе управление потоками информации, то необходимый уровень защиты будет обеспечен). 5.1.10. Конкретные требования по защите информации и мероприятия по их выполнению определяются в зависимости от установленного для АС класса защищенности. Требования к классам защищенности определены в сборнике руководящих документов Гос-
Приложение 8 техкомиссии России по защите информации от несанкционированного доступа: 1. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. 2. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. 3. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. 4. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. 5. Защита информации. Специальные защитные знаки. Классификация и общие требования. 6. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. 5.1.11. Лица, допущенные к автоматизированной обработке конфиденциальной информации, несут ответственность за соблюдение ими установленного в учреждении (на предприятии) порядка обеспечения защиты этой информации. Для получения доступа к конфиденциальной информации они должны изучить требования настоящего документа, других нормативных документов по защите информации, действующих в учреждении (на предприятии) в части их касающейся. 5.2. Основные требования и рекомендации по защите служебной тайны и персональных данных. При разработке и эксплуатации АС, предполагающих использование информации, составляющей служебную тайну, а также персональных данных должны выполняться следующие основные требования: 5.2.1. Организация, состав и содержание проводимых работ по защите информации, организационнораспорядительной, проектной и эксплуатационной документации должны отвечать требованиям раздела 3. 499
Приложение
8
5.2.2. В учреждении (на предприятии) должны быть документально оформлены перечни сведений, составляющих служебную тайну, и персональных данных, подлежащих защите. Эти перечни могут носить как обобщающий характер в области деятельности учреждения (предприятия) , та Пи иметь отношение к какому-либо отдельному направлению работ. Все исполнители должны быть ознакомлены с этими перечнями в части их касающейся. 5;2.3. В соответствии с РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» устанавливается следующий порядок классификации АС в зависимости от вида сведений конфиденциального характера: • АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам ЗБ, 2Б и не ниже 1Г; • АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам ЗБ, 2Б и не ниже 1Д. 5.2.4. Для обработки информации, составляющей служебную тайну, а также для обработки персональных данных следует использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например, ГОСТ 2921ите, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96). Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ. 5.2.5. Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы. 5.2.6. Носители информации на магнитной (магни500 то-оптической) и бумажной основе должны учитывать-
Приложение 9 ся, храниться и уничтожаться в подразделениях учреждений (предприятий) в порядке, установленном для служебной информации ограниченного распространения, с пометкой «Для служебного пользования». 5.2.7. Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в учреждении (на предприятии). 5.2.8. При необходимости указанный минимальный набор рекомендуемых организационно-технических мер защиты информации по решению руководителя предприятия может быть расширен. 5.3. Основные рекомендации по защите информации, составляющей коммерческую тайну. При разработке и эксплуатации АС, предполагающих использование сведений, составляющих коммерческую тайну, рекомендуется выполнение следующих основных организационно-технических мероприятий: 5.3.1. На предприятии следует документально оформить «Перечень сведений, составляющих коммерческую тайну». Все исполнители должны быть ознакомлены с этим «Перечнем». 5.3.2. При организации разработки и эксплуатации АС с использованием таких сведений следует ориентироваться на порядок, приведенный в разделе 3. Оформить порядок разработки и эксплуатации таких АС документально. 5.3.3. Рекомендуется относить АС, обрабатывающие информацию, составляющую коммерческую тайну, режим защиты которой определяет ее собственник, по уровню защищенности к классам ЗБ, 2Б и не ниже 1Д (если по решению руководителя предприятия не предъявляются более высокие требования). 5.3.4. Рекомендуется для обработки информации, составляющей коммерческую тайну, использовать средства вычислительной техники, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96). 501
Приложение Я Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ. 5.3.5. Для передачи информации по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. 5.3.6. Следует установить на предприятии порядок учета, хранения и уничтожения носителей информации на магнитной (магнито-оптической) и бумажной основе в научных, производственных и функциональных подразделениях, а также разработать и ввести в действие разрешительную систему допуска исполнителей к документам и сведениям, составляющим коммерческую тайну. Указанный минимальный набор рекомендуемых организационно-технических мероприятий по решению руководителя предприятия может быть расширен. Решение о составе и содержании мероприятий, а также используемых средств защиты информации принимается руководителем предприятия по результатам обследования создаваемой (модернизируемой) АС с учетом важности (ценности) защищаемой информации. 5.4. Порядок обеспечения защиты конфиденциальной информации при эксплуатации АС 5.4.1. Организация эксплуатации АС и СЗИ в ее составе осуществляется в соответствии с установленным в учреждении (на предприятии) порядком, в том числе технологическими инструкциями по эксплуатации СЗИ НСД для пользователей, администраторов АС и работников службы безопасности. 5.4.2. Для обеспечения защиты информации в процессе эксплуатации АС рекомендуется предусматривать соблюдение следующих основных положений и требований: • допуск к защищаемой информации лиц, работающих в АС (пользователей, обслуживающего персонала), должен производиться в соответствии с установленным разрешительной системой допуска порядком; • на период обработки защищаемой информации в помещениях, где размещаются ОТСС, могут находиться только лица, допущенные в установленном 502 порядке к обрабатываемой информации, допуск
Приложение а других лиц для проведения необходимых профилактических или ремонтных работ может осуществляться в эти помещения только с разрешения руководителя учреждения (предприятия) или руководителя службы безопасности; • в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации; • по окончании обработки защищаемой информации или при передаче управления другому лицу, пользователь обязан произвести стирание временных файлов на несъёмных носителях информации и информации в оперативной памяти. Одним из способов стирания информации в оперативной памяти является перезагрузка ПЭВМ; изменение или ввод новых программ обработки защищаемой информации в АС должен осуществляться совместно разработчиком АС и администратором АС; • при увольнении или перемещении администраторов АС руководителем учреждения (предприятия) по согласованию со службой безопасности должны быть приняты меры по оперативному изменению паролей и идентификаторов. 5.4.3. Все носители информации на бумажной, магнитной, оптической (магнитооптической) основе, используемые в технологическом процессе обработки информации в АС, подлежат учету в том производственном, научном или ФУНКЦИОНАЛЬНОМ подразделении, которое является владельцем АС, обрабатывающей эту информацию. 5.4.4. Учет съемных носителей информации на магнитной или оптической основе (гибкие магнитные диски, съемные накопители информации большой емкости или картриджи, съемные пакеты дисков, иные магнитные, оптические или магнитооптические диски, магнитные ленты и т.п.), а также распечаток текстовой, графической и иной информации на бумажной или пластиковой (прозрачной) основе осуществляется по карточкам или журналам установленной формы, в том числе автоматизированно с использованием средств вычислительной техники. Журнальная форма учета может использоваться в АС с небольшим объемом документооборота, 503
Приложение Я 5.4.5. Съемные носители информации на магнитной или оптической основе, в зависимости от характера или длительности использования, допускается учитывать совместно с другими документами по установленным для этого учетным формам. При этом перед выполнением работ сотрудником, ответственным за их учет, на этих носителях информации предварительно проставляются любым доступным способом следующие учетные реквизиты: учетный номер и дата, пометка «Для служебного пользования», номер экземпляра, подпись этого сотрудника, а также другие возможные реквизиты, идентифицирующие этот носитель. 5.4.6. Распечатки допускается учитывать совместно с другими традиционными печатными документами по установленным для этого учетным формам. 5.4.7. Временно не используемые носители информации должны храниться пользователем в местах, недоступных для посторонних лиц. 5.5. Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ 5.5.1. Автоматизированные рабочие места на базе автономных ПЭВМ являются автоматизированными системами, обладающими всеми основными признаками АС. Информационным каналом обмена между такими АС являются носители информации на магнитной (магнито-оптической) и бумажной основе. В связи с этим порядок разработки и эксплуатации АРМ на базе автономных ПЭВМ по составу и содержанию проводимых работ по защите информации, организационно-распорядительной, проектной и эксплуатационной документации должны полностью отвечать требованиям настоящего документа. 5.5.2. АС на базе автономных ПЭВМ в соответствии с требованиями РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» должны быть классифицированы и отнесены: • к 3 группе АС, если в ней работает только один пользователь, допущенный ко всей информации АС; • ко 2 и 1 группе АС, если в ней последовательно работают несколько пользователей с равными или
Приложение 8 разными правами доступа (полномочиями), соответственно. Примечание: При использовании на автономной ПЭВМ технологии обработки информации на съемных накопителях большой емкости классификация АС производится на основании анализа режима доступа пользователей АС к информации на используемом съемном накопителе (либо одновременно используемом их комплексе). 5.6. Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ 5.6.1. Данная информационная технология предусматривает запись на загружаемый съемный накопитель информации большой емкости одновременно общесистемного (ОС, СУБД) и прикладного программного обеспечения, а также обрабатываемой информации одного или группы пользователей. В качестве устройств для работы по этой технологии могут быть использованы накопители на магнитном, магнито-оптическом или лазерном дисках различной конструкции, как встроенные (съемные), так и выносные. Одновременно может быть установлено несколько съемных накопителей информации большой емкости. Несъемные накопители должны быть исключены из конфигурации ПЭВМ. Основной особенностью применения данной информационной технологии для АРМ на базе автономных ПЭВМ, с точки зрения защиты информации, является исключение этапа хранения на ПЭВМ в нерабочее время информации, подлежащей защите. Эта особенность может быть использована для обработки защищаемой информации без применения сертифицированных средств защиты информации от НСД и использования средств физической защиты помещений этих АРМ. 5.6.2. На этапе предпроектного обследования необходимо провести детальный анализ технологического процесса обработки информации, обращая внимание прежде всего на технологию обмена информацией (при использовании съемных накопителей информации большой емкости или гибких магнитных дисков (ГМД или дискет) с другими АРМ, как использующими, так 505
Приложение 8 и не использующими эту информационную технологию, на создание условий, исключающих попадание конфиденциальной информации на неучтенные носители информации, несанкционированное ознакомление с этой информацией, на организацию выдачи информации на печать. 5.6.3. Обмен конфиденциальной информацией между АРМ должен осуществляться только на учтенных носителях информации с учетом допуска исполнителей, работающих на АРМ, к переносимой информации. 5.6.4. На рабочих местах исполнителей, работающих по этой технологии, во время работы, как правило, не должно быть неучтенных накопителей информации. В случае формирования конфиденциальных документов с использованием, как текстовой, так и графической информации, представленной на неконфиденциальных накопителях информации, неконфиденциальные накопители информации должны быть «закрыты на запись». Условия и порядок применения таких процедур должны быть отражены в технологии обработки информации, использующей съемные накопители информации большой емкости. 5.6.5. При использовании в этой технологии современных средств вычислительной техники, оснащенных энергонезависимой, управляемой извне перезаписываемой памятью, так называемых Flash-Bios (FB), необходимо обеспечить целостность записанной в FB информации. Для обеспечения целостности как перед началом работ с конфиденциальной информацией при загрузке ПЭВМ, так и по их окончании, необходимо выполнить процедуру проверки целостности FB. При несовпадении, необходимо восстановить (записать первоначальную версию) FB, поставить об этом в известность руководителя подразделения и службу безопасности, а также выяснить причины изменения FB. 5.6.6. Должна быть разработана и, по согласованию со службой безопасности, утверждена руководителем учреждения (предприятия) технология обработки конфиденциальной информации, использующая съемные накопители информации большой емкости и предусматривающая вышеуказанные, а также другие вопросы защиты информации, имеющие отношение к условиям размещения, эксплуатации АРМ, учету носителей информации, а также другие требования, вытекающие из особенностей функционирования АРМ.
Приложение 9 5.7. Защита информации в локальных вычислительных сетях 5.7.1. Характерными особенностями ЛВС являются: распределенное хранение файлов, удаленная обработка данных (вычисления) и передача сообщений (электронная почта), а также сложность проведения контроля за работой пользователей и состоянием общей безопасности ЛВС, 5.7.2. Средства защиты информации от НСД должны использоваться во всех узлах ЛВС, независимо от наличия (отсутствия) конфиденциальной информации в данном узле ЛВС, и требуют постоянного квалифицированного контроля со стороны администратора безопасности информации. 5.7.3. Информация, составляющая служебную тайну, и персональные данные могут обрабатываться только в изолированных ЛВС, расположенных в пределах контролируемой зоны, или в условиях,, изложенных в пунктах 5.8.4. и 5.8.5. следующего подраздела. 5.7.4. Класс защищенности ЛВС определяется в соответствии с требованиями РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». 5.7.5. Для управления ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, в дополнение к системным администраторам (администраторам ЛВС) могут быть назначены администраторы по безопасности информации, имеющие необходимые привилегии доступа к защищаемой информации ЛВС. 5.7.6. Состав пользователей ЛВС должен устанавливаться по письменному разрешению руководства предприятия (структурного подразделения) и строго контролироваться. Все изменения состава пользователей, их прав и привилегий должны регистрироваться. 5.7.7. Каждый администратор и пользователь должен иметь уникальные идентификаторы и пароли. 5.8. Защита информации при межсетевом взаимодействии 5.8.1. Положения данного подраздела относятся к _ взаимодействию локальных сетей, ни одна из которых
Приложение 3 не имеет выхода в сети общего пользования типа Internet. 5.8.2. Взаимодействие ЛВС с другими вычислительными сетями должно контролироваться с точки зрения защиты информации. Коммуникационное оборудование и все соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах КЗ. 5.8.3. При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и мультиплексоров) и прокладке кабельной системы ЛВС, рекомендуется учитывать разделение трафика по отдельным сетевым фрагментам на производственной основе и видам деятельности предприятия. 5.8.4. Подключение ЛВС к другой автоматизированной системе (локальной или неоднородной вычислительной сети) должно осуществляться с использованием МЭ, требования к которому определяются РД Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». 5.8.5. Для защиты АС при ее взаимодействии с другой АС по каналам связи необходимо использовать: • в АС класса 1Г — МЭ не ниже класса 4; • в АС класса 1Д и 2Б, ЗБ — МЭ класса 5 или выше. Для защиты конфиденциальной информации, передаваемой по каналам связи между АС, если каналы связи выходят за пределы КЗ, необходимо использовать защищенные каналы связи, включая защищенные волоконно-оптические линии связи или сертифицированные ФАПСИ криптографические средства защиты. 5.9. Защита информации при работе с системами управления базами данных 5.9.1. При работе с системами управления базами данных (СУБД) и базами данных (БД) необходимо учитывать следующие особенности защиты информации от НСД: • в БД может накапливаться большой объем интегрированной информации по различным тематическим направлениям, предназначенной для различных пользователей; • БД могут быть физически распределены по различным устройствам и узлам сети; БД могут включать информацию различного уровня конфиденциальности;
Приложение 9 • разграничение доступа пользователей к БД средствами операционной системы и/или СЗИ НСД может осуществляться только на уровне файлов БД; • разграничение доступа пользователей к объектам БД: таблицам, схемам, процедурам, записям, полям записей в базах данных и т.п., может осуществляться только средствами СУБД, если таковые имеются; • регистрация действий пользователей при работе с объектами БД может осуществляться также только средствами СУБД, если таковые имеются; • СУБД могут обеспечивать одновременный доступ многих пользователей (клиентов) к БД с помощью сетевых протоколов, при этом запросы пользователя к БД обрабатываются на сервере и результаты обработки направляются пользователям (клиентам). 5.9.2. С учетом указанных особенностей при создании БД рекомендуется: • при выборе СУБД ориентироваться на операционные системы и СУБД, включающие либо штатные сертифицированные средства защиты информации от НСД, либо имеющие соответствующие сертифицированные дополнения в виде СЗИ НСД; • при использовании СУБД, не имеющих средств разграничения доступа, производить разбиение БД на отдельные файлы, разграничение доступа к которым можно проводить средствами ОС и/или СЗИ НСД; • при использовании современных СУБД, основанных на модели клиент-сервер, использовать их штатные средства защиты информации от НСД, применять средства регистрации (аудита) и разграничение доступа к объектам БД на основе прав, привилегий, ролей, представлений (VIEW), процедур и т.п.
• 6. Рекомендации по обеспечению защиты информации, содержащейся е негосударственных информационных ресурсах, при взаимодействии абонентов с информационными сетями общего пользования 6.1. Общие положения 6.1.1. В настоящем разделе приведены рекомендации, определяющие условия и порядок подключения 509
Приложение Я абонентов к информационным сетям общего пользования (Сетям), а также рекомендации по обеспечению безопасности конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (коммерческая тайна — в соответствии с п.2.3. СТР-К), при подключении и взаимодействии абонентов с этими сетями. 6.1.2. Данные рекомендации определены, исходя из требований РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации », настоящего документа, а также следующих основных угроз безопасности информации, возникающих при взаимодействии с информационными сетями общего пользования: • несанкционированного доступа к информации, хранящейся и обрабатываемой во внутренних ЛВС (серверах, рабочих станциях) или на автономных ПЭВМ, как из Сетей, так и из внутренних ЛВС; • несанкционированного доступа к коммуникационному оборудованию (маршрутизатору, концентратору, мосту, мультиплексору, серверу, Web/Proxy серверу), соединяющему внутренние ЛВС учреждения (предприятия) с Сетями; • несанкционированного доступа к данным (сообщениям), передаваемым между внутренними ЛВС и Сетями, включая их м о д и ф 2 . 3 и ю , имитацию и уничтожение; • заражения программного обеспечения компьютерными «вирусами» из Сети как посредством приема «зараженных» файлов, так и посредством E-mail, апплетов языка JAVA и объектов ActiveX Control; • внедрения программных закладок с целью получения НСД к информации, а также дезорганизации работы внутренней ЛВС и ее взаимодействия с Сетями; несанкционированной передачи защищаемой конфиденциальной информации ЛВС в Сеть; • возможности перехвата информации внутренней ЛВС за счет побочных электромагнитных излучений и наводок от основных технических средств, обрабатывающих такую информацию.
Приложение 8 6.2. Условия подключения абонентов к Сети 6.2.1. Подключение к Сети абонентского пункта (АП) осуществляется по решению руководителя учреждения (предприятия) на основании соответствующего обоснования. 6.2.2. Обоснование необходимости подключения АП к Сети должно содержать: • наименование Сети, к которой осуществляется подключение, и реквизиты организации-владельца Сети и провайдера Сети; • состав технических средств для оборудования АП; • предполагаемые виды работ и используемые прикладные сервисы Сети (E-Mail, FTP, Telnet, HTTP и т.п.) для АП в целом и для каждого абонента в частности; • режим подключения АП и абонентов к Сети (постоянный, в т.ч. круглосуточный, временный); • состав общего и телекоммуникационного программного обеспечения АП и абонентов (ОС, клиентские прикладные программы для сети —- Browsers и т.п.); • число и перечень предполагаемых абонентов (диапазон используемых IP-адресов); • меры и средства защиты информации от НСД, которые будут применяться на АП, организацияизготовитель, сведения о сертификации, установщик, конфигурация, правила работы с ними; • перечень сведений конфиденциального характера, обрабатываемых (хранимых) на АП, подлежащих передаче и получаемых из Сети. 6.2.3. Право подключения к Сети АП, не оборудованного средствами защиты информации .от НСД, может быть предоставлено только в случае обработки на АП информации с открытым доступом, оформленной в установленном порядке как разрешенной к открытому опубликованию. В этом случае к АП, представляющим собой автономную ПЭВМ с модемом, специальные требования по защите информации от НСД не предъявляются. 6.2.4. Подключение к Сети АП, представляющих собой внутренние (локальные) вычислительные сети, на которых обрабатывается информация, не разрешен- 511
ная к открытому опубликованию, разрешается только после установки на АП средств защиты информации от НСД, отвечающих требованиям и рекомендациям, изложенным в подразделе 6.3. 6.3. Порядок подключения и взаимодействия абонентских пунктов с Сетью, требования и рекомендации по обеспечению безопасности информации 6.3.1. Подключение АП к Сети должно осуществляться в установленном порядке через провайдера Сети. 6.3.2. Подключение ЛВС предприятия (учреждения) к Сети должно осуществляться через средства разграничения доступа в виде МЭ (Firewall, Брандмауэр). Не допускается подключение ЛВС к Сети в обход МЭ. МЭ должны быть сертифицированы по требованиям безопасности информации. 6.3.3. Доступ к МЭ, к средствам его конфигурирования должен осуществляться только выделенным администратором с консоли. Средства удаленного управления МЭ должны быть исключены из конфигурации. 6.3.4. АП с помощью МЭ должен обеспечивать создание сеансов связи абонентов с внешними серверами Сети и получать с этих серверов только ответы на запросы абонентов. Настройка МЭ должна обеспечивать отказ в обслуживании любых внешних запросов, которые могут направляться на АП. 6.3.5. При использовании почтового сервера и Webсервера предприятия последние не должны входить в состав ЛВС АП и должны подключаться к Сети по отдельному сетевому фрагменту (через маршрутизатор). 6.3.6. На технических средствах АП должно находиться программное обеспечение только в той конфигурации, которая необходима для выполнения работ, заявленных в обосновании необходимости подключения АП к Сети (обоснование может корректироваться в установленном на предприятии порядке). Не допускается активизация не включенных в обоснование прикладных серверов (протоколов) и не требующих привязок протоколов к портам. 6.3.7. Установку программного обеспечения, обеспечивающего функционирование АП, должны выполнять уполномоченные специалисты под контролем администратора. Абоненты АП не имеют права производить caмостоятельную установку и модификацию указанного
Приложение 9 программного обеспечения, однако, могут обращаться к администратору для проведения его экспертизы на предмет улучшения характеристик, наличия «вирусов», замаскированных возможностей выполнения непредусмотренных действий. Вся ответственность за использование не прошедшего экспертизу и не рекомендованного к использованию программного обеспечения целиком ложится на абонента АЛ. При обнаружении фактов такого рода администратор обязан логически (а при необходимости — физически вместе с включающей подсетью) отключить рабочее место абонента от Сети и ЛВС и поставить об этом в известность руководство. 6.3.8. Устанавливаемые межсетевые экраны должны соответствовать классу защищаемого АП (АС) и отвечать требованиям РД Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». 6.3.9. СЗИ НСД, устанавливаемая на автономную ПЭВМ, рабочие станции и серверы внутренней ЛВС предприятия при обработке на них конфиденциальной информации, должна осуществлять: • идентификацию и аутентификацию пользователей при доступе к автономной ПЭВМ, рабочим станциям и серверам внутренней ЛВС по идентификатору и паролю; • контроль доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС на основе дискреционного принципа; • регистрацию доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС, включая попытки НСД; • регистрацию фактов отправки и получения абонентом сообщений (файлов, писем, документов). При этом СЗИ НСД должна запрещать запуск абонентом произвольных программ, не включенных в состав программного обеспечения АП. Модификация конфигурации программного обеспечения АП должна быть доступна только со стороны администратора, ответственного за эксплуатацию АП. Средства регистрации и регистрируемые данные должны быть недоступны для абонента. 17 Безопасность
.
Приложение 9
СЗИ НСД должна быть целостной, т.е. защищенной от несанкционированной модификации и не содержащей путей обхода механизмов контроля. Тестирование всех функций СЗИ НСД с помощью специальных программных средств должно проводиться не реже одного раза в год. 6.3.10. Технические средства АП должны быть размещены либо в отдельном помещении (при автономной ПЭВМ, подключенной к Сети), либо в рабочих помещениях абонентов с принятием организационных и технических мер, исключающих несанкционированную работу в Сети. В этих помещениях должно быть исключено ведение конфиденциальных переговоров, либо технические средства должны быть защищены с точки зрения электроакустики. В нерабочее время помещение автономной ПЭВМ либо соответствующего сервера сдается под охрану в установленном порядке. 6.3.11. При создании АП рекомендуется: 6.3.11.1. По возможности размещать МЭ для связи с внешними Сетями, Web-серверы, почтовые серверы в отдельном ЗП, доступ в которое имел бы ограниченный крут лиц (ответственные специалисты, администраторы). Периодически проверять работоспособность МЭ с помощью сканеров, имитирующих внешние атаки на внутреннюю ЛВС. Не следует устанавливать на МЭ какие-либо другие прикладные сервисы (СУБД, E-mail, прикладные серверы и т.п.). 6.3.11.2. При предоставлении абонентам прикладных сервисов исходить из принципа минимальной достаточности. Тем пользователям АП, которым не требуются услуги Сети, не предоставлять их. Пользователям, которым необходима только электронная почта (E-mail), предоставлять только доступ к ней. Максимальный перечень предоставляемых прикладных сервисов ограничивать следующими: E-mail, FTP, HTTP, Telnet. 6.3.11.3. При создании АП следует использовать операционные системы со встроенными функциями защиты информации от НСД, перечисленными в п.6.3.9, или использовать сертифицированные СЗИ НСД. 6.3.11.4. Эффективно использовать имеющиеся в _.- маршрутизаторах средства разграничения доступа 514 (фильтрацию), включающие контроль по списку досту-
Приложение 9
:
па, аутентификацию пользователей, взаимную аутентификацию маршрутизаторов. 6.3.11.5. В целях контроля за правомерностью использования АП и выявления нарушений требований по защите информации осуществлять анализ принимаемой из Сети и передаваемой в Сеть информации, в том числе на наличие «вирусов». Копий исходящей электронной почты и отсылаемых в Сеть файлов следует направлять в адрес защищенного архива АП для последующего анализа со стороны администратора (службы безопасности). 6.3.11.6. Проводить постоянный контроль информации, помещаемой на Web-серверы предприятия. Для этого следует назначить ответственного (ответственных) за ведение информации на Web-сервере. Предусмотреть порядок размещения на Web-сервере информации, разрешенной к открытому опубликованию. 6.3.12. Приказом по учреждению (предприятию) назначаются лица (абоненты), допущенные к работам в Сети с соответствующими полномочиями, лица, ответственные за эксплуатацию указанного АП и контроль за выполнением мероприятий по обеспечению безопасности и н ф о р м а ц и и при работе абонентов в Сети (руководители подразделений и администраторы). 6.3.13. Вопросы обеспечения безопасности информации на АП должны быть отражены в инструкции, определяющей: • порядок подключения и регистрации абонентов в Сети; • порядок установки и конфигурирования на АП общесистемного, прикладного коммуникационного программного обеспечения (серверов, маршрутизаторов, шлюзов, мостов, межсетевых экранов, Browsers), их новых версий; • порядок применения средств защиты информации от НСД на АП при взаимодействии абонентов с Сетью; • порядок работы абонентов в Сети, в том числе с электронной почтой (E-mail), порядок выбора и доступа к внутренним и внешним серверам Сети (Web-серверам); • порядок оформления разрешений на отправку данных в Сеть (при необходимости); 17*
Приложение 8 • обязанности и ответственность абонентов и администратора внутренней ЛВС по обеспечению безопасности информации при взаимодействии с Сетью; • порядок контроля за выполнением мероприятий по обеспечению безопасности информации и работой абонентов Сети. 6.3.14. К работе в качестве абонентов Сети допускается круг пользователей, ознакомленных с требованиями по взаимодействию с другими абонентами Сети и обеспечению при этом безопасности информации и допускаемых к самостоятельной работе в Сети после сдачи соответствующего зачета. 6.3.15. Абоненты Сети обязаны: • знать порядок регистрации и взаимодействия в Сети; • знать инструкцию по обеспечению безопасности информации на АП; • знать правила работы со средствами защиты информации от НСД, установленными на АП (серверах, рабочих станциях АП); • уметь пользоваться средствами антивирусной защиты; • после окончания работы в Сети проверить свое рабочее место на наличие «вирусов». 6.3.16. Входящие и исходящие сообщения (файлы, документы), а также используемые при работе в Сети носители информации, учитываются в журналах несекретного делопроизводства. При этом на корпус (конверт) носителя информации наносится предупреждающая маркировка: «Допускается использование только в Сети». 6.3.17. Для приемки в эксплуатацию АП, подключаемого к Сети, приказом по учреждению (предприятию) назначается аттестационная комиссия, проверяющая выполнение установленных требований и рекомендаций. Аттестационная комиссия в своей работе руководствуется требованиями и рекомендациями настоящего документа. 6.3.18. По результатам работы комиссии оформляется заключение, в котором отражаются следующие сведения:
• типы и номера выделенных технических средств АП, в том числе каждого абонента, их состав и конфигурация; • состав общего и сервисного прикладного коммуникационного программного обеспечения (ОС, маршрутизаторов, серверов, межсетевых экранов, Browsers и т.п.) на АП в целом и на каждой рабочей станции абонента в частности: логические адреса (IP-адреса), используемые для доступа в Сети; • мероприятия по обеспечению безопасности информации, проведенные при установке технических средств и программного обеспечения, в том числе средств защиты информации от НСД, антивирусных средств, по защите информации от утечки по каналам ПЭМИН, наличие инструкции по обеспечению безопасности информации на АП. 6.3.19. При работе в Сети категорически запрещается: • подключать технические средства (серверы, рабочие станции), имеющие выход в Сеть, к другим техническим средствам (сетям), не определенным в обосновании подключения к Сети; • изменять состав и конфигурацию программных и технических средств АП без санкции администратора и аттестационной комиссии; • производить отправку данных без соответствующего разрешения; • использовать носители информации с маркировкой: «Допускается использование только в Сети» на рабочих местах других систем (в том числе и автономных ПЭВМ) без соответствующей санкции. 6.3.20. Ведение учета абонентов, подключенных к Сети, организуется в устанавливаемом в учреждении (на предприятии) порядке. 6.3.21. Контроль за выполнением мероприятий по обеспечению безопасности информации на АП возлагается на администраторов АП, руководителей соответствующих подразделений, определенных приказом по учреждению (предприятию), а также руководителя службы безопасности. •
517
Приложение 9 Приложение №1 ДЛЯ служебного пользования ЭКЗ. № УТВЕРЖДАЮ Руководитель предприятия г. АКТ классификации автоматизированной системы обработки информации (наименование автоматизированной системы) Комиссия в составе: председатель: члены комиссии: рассмотрев исходные данные на автоматизированную систему обработки информации (АС) . (наименование автоматизированной системы) условия ее эксплуатации (многопользовательский, однопользовательский; с равными или разными правами доступа к информации), с учетом характера обрабатываемой информации (служебная тайна, коммерческая тайна, персональные данные и т.д.) и в соответствии с руководящими документами Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», РЕШИЛА: Установить АС (наименование автоматизированной системы) класс защищенности Председатель 518
Члены
комиссии
Приложение 9
Приложение №2
АТТЕСТАТ СООТВЕТСТВИЯ
№ (указывается полное наименование автоматизированной системы)
требованиям по безопасности информации
Выдан «
»
г.
1. Настоящим аттестатом удостоверяется, что: (приводится полное наименование автоматизированной системы)
класса защищенности соответствует требованиям нормативной документации по безопасности информации. Состав комплекса технических средств автоматизированной системы (АС) с указанием заводских номеров, модели, изготовителя, номеров сертификатов соответствия, схемы размещения в помещениях и относительно границ контролируемой зоны, перечня используемых программных средств, а также средств защиты (с указанием изготовителя и номеров сертификатов соответствия) указаны в техническом паспорте на АС. 2. Организационная структура, уровень подготовки специалистов, нормативно-методическое обеспечение обеспечивают поддержание уровня защищенности АС в процессе эксплуатации в соответствии с уста: новленными требованиями. 3. Аттестация АС выполнена в соответствии с программой и методиками аттестационных испытаний, утвержденными руководителем предприятия (указываются номера документов). 4. С учетом результатов аттестационных испытаний в АС разрешается обработка конфиденциальной
информации.
513
Приложение 9 5. При эксплуатации АС запрещается: • вносить изменения в комплектность АС, которые могут снизить уровень защищенности информации; • проводить обработку защищаемой информации без выполнения всех мероприятий по защите информации; • подключать к основным техническим средствам нештатные блоки и устройства; • вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники; • при обработке на ПЭВМ защищаемой информации подключать измерительную аппаратуру; • допускать к обработке защищаемой информации лица, не оформленные в установленном порядке; • производить копирование защищаемой информации на неучтенные магнитные носители информации, в том числе для временного хранения информации; • работать при отключенном заземлении; • обрабатывать на ПЭВМ защищаемую информацию при обнаружении каких-либо неисправностей. 6. Контроль за эффективностью реализованных мер и средств защиты возлагается (наименование подразделения, должность лица осуществляющего контроль) 7. Подробные результаты аттестационных испытаний приведены в заключении аттестационной комиссии (№ от ) и протоколах испытаний. 8. «Аттестат соответствия» выдан на года (лет), в течение которых должна быть обеспечена неизменность условий функционирования АС и технологии обработки защищаемой информации, могущих повлиять на характеристики защищенности АС. Руководитель аттестационной комиссии (должность с указанием наименования предприятия) Ф.И.О.
Г.
520
Отметки органа надзора:
Приложение 9
Приложение №3
АТТЕСТАТ СООТВЕТСТВИЯ № (указывается наименование защищаемого помещения) требованиям по безопасности информации Выдан «
»
г.
1. Настоящим АТТЕСТАТОМ удостоверяется, что (полное наименование защищаемого помещения) и установленное в нем оборудование соответствуют требованиям нормативных документов по безопасности информации (Заключение по результатам аттестации № от _) и в нем разрешается проведение конфиденциальных мероприятий. Схема размещения помещения относительно границ контролируемой зоны, перечень установленного в нем оборудования, используемых средств защиты информации указаны в техническом паспорте на защищаемое помещение (ЗП). 2. Установленный порядок использования ЗП позволяет осуществлять его эксплуатацию, расположенного в нем оборудования и средств защиты в соответствии с требованиями по защите конфиденциальной информации. 3. Повседневный контроль за выполнением установленных правил эксплуатации ЗП осуществляется (наименование подразделения, должностного лица, осуществляющего контроль) 4. В ЗП запрещается проводить ремонтно-строительные работы, замену (установку новых) элементов интерьера, вносить изменения в состав оборудования и средства защиты информации без согласования с (наименование подразделения, должностного лица, осуществляющего контроль)
521
Приложение 9 5. Лицо, ответственное за эксплуатацию защищаемого помещения, обязано незамедлительно извещать (наименование подразделения, должностного лица, осуществляющего контроль) • о предполагаемых ремонтно-строительных работах и изменениях в размещении и монтаже установленного оборудования, технических средств и систем, средств защиты информации, в интерьере помещения; • о нарушениях в работе средств защиты информации; • о фактах несанкционированного доступа в помещение. Руководитель аттестационной комиссии (должность с указанием наименования предприятия) Ф.И.О. Г.
Отметки органа надзора:
Приложение №4 Форма технического паспорта на защищаемое помещение ТЕХНИЧЕСКИЙ ПАСПОРТ на защищаемое помещение № Составил (Подпись специалиста подразделения по защите информации) Ознакомлен (Подпись лица, ответственного за помещение)
522
ПАМЯТКА
по обеспечению режима безопасности и эксплуатации оборудования, установленного в защищаемом помещении № (Примерный текст) 1. Ответственность за режим безопасности в защищаемом помещении (ЗП) и правильность использования установленных в нем технических средств несет лицо, которое постоянно в нем работает, или лицо, специально на то уполномоченное. 2. Установка нового оборудования, мебели и т.п. или замена их, а также ремонт помещения должны проводиться только по согласованию с подразделением (специалистом) по защите информации предприятия. 3. В нерабочее время помещение должно закрываться на ключ. 4. В рабочее время, в случае ухода руководителя, помещение должно закрываться на ключ или оставляться под ответственность лиц, назначенных руководителем подразделения. 5. При проведении конфиденциальных мероприятий бытовая радиоаппаратура, установленная в помещении (телевизоры, радиоприемники и т.п.), должна отключаться от сети электропитания. 6. Должны выполняться предписания на эксплуатацию средств связи, вычислительной техники, оргтехники, бытовых приборов и другого оборудования, установленного в помещении. 7. Запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком, спикерфоном и имеющих выход в городскую АТС, следует отключать эти аппараты на время проведения конфиденциальных мероприятий. 8. Повседневный контроль за выполнением требований по защите помещения осуществляют лица, ответственные за помещение, и служба безопасности предприятия. 9. Периодический контроль эффективности мер защиты помещения осуществляется специалистами по защите информации.
Приложение 9 Примечание: В памятку целесообразно включать и другие сведения, учитывающие особенности установленного в ЗП оборудования; действия персонала в случае срабатывания установленной в помещении сигнализации, порядок включения средств защиты, организационные меры защиты и т.п. Перечень оборудования, установленного в помещении Вид Тип Учетный Дата оборудования (зав.) номер установки
Сведения но Класс ТС сертификации, (ОТСС или специсследованиям ВТСС) и спецпроверкам
Меры защиты информации (пример) 1. Телефонный аппарат коммутатора директора (инв.№ 5). Выполнены требования предписания на эксплуатацию: (Перечень предусмотренных мер защиты согласно предписанию). 2. Телефонный аппарат № 7-15. На линию установлено защитное устройство «Сигнал-5», зав.№ 01512. 3. Пульт коммутатора. Выполнены требования предписания на эксплуатацию: (Перечень предусмотренных мер защиты согласно предписанию). 4. Часы электронные. Выполнены требования предписания на эксплуатацию: (Перечень предусмотренных мер защиты согласно предписанию). 5. Вход в помещение оборудован тамбуром, двери двойные, обшиты слоем ваты и дермантина. Дверные притворы имеют резиновые уплотнения. 6. Доступ посторонних лиц к вентиляционным каналам, выходящим на чердак здания, исключен (приводятся предусмотренные для этого меры). Отметка о проверке средств защиты Вид Учетный оборудования номер
524
Дата Результаты проверки и проверки № отчетного документа
Приложение В Результаты аттестационного и периодического контроля помещения Дата Результаты аттестации или проведения периодического контроля, № отчетного документа
Подпись проверяющего
Приложение №5 Форма технического паспорта на автоматизированную систему УТВЕРЖДАЮ Руководитель предприятия
ТЕХНИЧЕСКИЙ ПАСПОРТ (указывается полное наименование автоматизированной системы) СОГЛАСОВАНО
РАЗРАБОТАЛ
(Представитель подразделения по защите информации) « » г. 1. Общие сведения об АС 1.1. Наименование АС: (полное наименование АС) 1.2. Расположение АС: (адрес, здание, строение, этаж, комнаты) 1.3. Класс АС: (номер и дата акта классификации АС, класс АС) 2. Состав оборудования АС 2.1. Состав ОТСС: 525
Приложение 9 Таблица 1
ПЕРЕЧЕНЬ основных технических средств и систем, входящих в состав АС № п/п
Тип ОТСС Заводской номер
Сведения по сертификации, специсследованиям и спецпроверкам
2.2. Состав ВТСС объекта: Таблица 2
ПЕРЕЧЕНЬ вспомогательных технических средств, входящих в состав АС ; (средств вычислительной техники, не участвующих в обработке конфиденциальной информации) № п/п
Тип ВТСС
Заводской номер
Примечание
2.3. Структура, топология и размещение ОТСС относительно границ контролируемой зоны объекта: структурная (топологическая) схема с указанием информационных связей между устройствами; схема размещения и расположения ОТСС на объекте с привязкой к границам контролируемой зоны; схема прокладки линий передачи конфиденциальной информации с привязкой к границам контролируемой зоны объекта. 2.4. Системы электропитания и заземления: схемы электропитания и заземления ОТСС объекта; схемы прокладки кабелей и шины заземления. Схемы расположения трансформаторной подстанции и заземляющих устройств с привязкой к границам контролируемой зоны объекта; схемы электропитания розеточной и осветительной сети объекта; сведения о величине 526сопротивления заземляющего устройства.
Приложение 9 2.5. Состав средств защиты информации: Таблица 3 ПЕРЕЧЕНЬ средств защиты информации, установленных на АС № Наименование и тип п/п технического средства
Заводской Сведения о сертификате номер
ческогото и дата установки
3. Сведения об аттестации объекта информатизации на соответствие требованиям по безопасности информации: инвентарные номера аттестата соответствия, заключения по результатам аттестационных испытаний, протоколов испытаний и даты их регистрации. 4. Результаты периодического контроля. Таблица 4 Дата Наименование Результаты проверки, проведения организации, проводившей № отчетного документа проверку
Лист регистрации изменений
Приложение №6 Пример документального оформления перечня сведений конфиденциального характера УТВЕРЖДАЮ Руководитель предприятия г.
527
Приложение ПЕРЕЧЕНЬ
сведений конфиденциального характера № Наименование сведений Примечание п/п 1. Сведения, раскрывающие систему, средства защиты информации ЛВС предприятия от НСД, а также значения действующих кодов и паролей. 2. Сводный перечень работ предприятия на перспективу, на год (квартал). 3. Сведения, содержащиеся в лицевых счетах пайщиков страховых взносов. 4. Сведения, содержащиеся в индивидуальном лицевом счете застрахованного лица. 5. Основные показатели задания на проектирование комплекса (установки). НОУ-ХАУ технологии — различные технические, коммерческие и другие сведения, оформленные в виде технической документации.
6.
Методические материалы, типовые технологические и конструктивные решения, разработанные на предприятии и используемые при проектировании.
7.
Требования по обеспечению сохранения служебной тайны при выполнении работ на предприятии. Порядок передачи служебной информации ограниченного распространения другим организациям.
8.
Приложение №7 Основные нормативные правовые акты и методические документы по защите конфиденциальной информации
528
1. Федеральный закон от 20.02.95 г. № 24-ФЗ «Об информации, информатизации и защите информации». 2. Федеральный закон от 04.07.96 г. № 85-ФЗ «Об участии в международном информационном обмене».
Врилшяие 8 3. Федеральный закон от 16.02.95 г. № 15-ФЗ «О связи». 4. Федеральный закон от 08.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности». 5. Указ Президента Российской Федерации от 19.02.99 г. № 212 «Вопросы Государственной технической комиссии при Президенте Российской Федерации». 6. «Доктрина информационной безопасности Российской Федерации», утверждена Президентом Российской Федерации 09.09.2000 г. Пр. № 1895. 7. Указ Президента Российской Федерации от 17.12.97 г. № 1300 «Концепция национальной безопасности Российской Федерации» в редакции указа Президента Российской Федерации от 10.01.2000 г. № 24. 8. Указ Президента Российской Федерации от 06.03.97 г. № 188 «Перечень сведений конфиденциального характера». 9. Постановление Правительства Российской Федерации от 03.11.94 г. № 1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти». 10. Решение Гостехкомиссии России и ФАПСИ от 27.04.94 г. № 10 «Положение о государственном лицензировании деятельности в области защиты информации» (с дополнением). 11. Постановление Правительства Российской Федерации от 11.04.2000 г. № 326 «О лицензировании отдельных видов деятельности». 12. «Сборник руководящих документов по защите информации от несанкционированного доступа» Гостехкомиссия России, Москва, 1998 г. 13. ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения». 14. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения». 15. ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении».
Приложение 9 16. ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний». 17. ГОСТ 12.1.050-86 «Методы измерения шума на рабочих местах». 18. ГОСТР ИСО 7498-1-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель». 19. ГОСТ Р ИСО 7498-2-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации». 20. ГОСТ 2.114-95 «Единая система конструкторской документации. Технические условия». 21. ГОСТ 2.601-95 «Единая система конструкторской документации. Эксплуатационные документы». 22. ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем». 23. ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированных систем». 24. ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения». 25. РД Госстандарта СССР 50-682-89 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения». 26. РД Госстандарта СССР 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов». 27. РД Госстандарта СССР 50-680-89 «Методические указания. Автоматизированные системы. Основные положения».
28. ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания». 29. ГОСТ 6.38-90 «Система организационно-распорядительной документации. Требования к оформлению». 30. ГОСТ 6.10-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники, ЕСКД, ЕСПД и ЕСТД». 31. ГОСТ Р-92 «Система сертификации ГОСТ. Основные положения». 32. ГОСТ 28195-89 «Оценка качества программных средств. Общие положения». 33. ГОСТ 28806-90 «Качество программных средств. Термины и определения». 34. ГОСТ Р ИСО\МЭК 9126-90 «Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению». 35. ГОСТ 2.111-68 «Нормоконтроль». 36. ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации». 37. РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей», Москва, 1999 г. 38. РД Гостехкомиссии России «Средства защиты информации. Специальные общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам», Москва, 2000 г. 39. ГОСТ 13661-92 «Совместимость технических средств электромагнитная. Пассивные помехоподавляющие фильтры и элементы. Методы измерения вносимого затухания». 40. Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации. 531
Приложение 8 41. Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счет наводок на вспомогательные технические средства и системы и их коммуникации. 42. Временная методика оценки защищенности речевой конфиденциальной информации от утечки по акустическому и виброакустическому каналам. 43. Временная методика оценки защищенности речевой конфиденциальной информации от утечки за счет электроакустических преобразований во вспомогательных технических средствах и системах. 44. ГОСТ 29216-91 «Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний». 45. ГОСТ 22505-83 «Радиопомехи индустриальные от приемников телевизионных и приемников радиовещательных частотно-модулированных сигналов в диапазоне УКВ. Нормы и методы измерений». 46. ГОСТ Р 50628-93 «Совместимость электромагнитная машин электронных вычислительных персональных. Устойчивость к электромагнитным помехам. Технические требования и методы испытаний». 47. ПУЭ-76 «Правила устройства электроустановок». 48. Решение Гостехкомиссии России от 14.03.95 г. № 32 «Типовое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утечки по техническим каналам». 49. Решение Гостехкомиссии России от 14.03.95 г. № 32 «Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации». 50. Решение Гостехкомиссии России от 14.03.95 г. № 32 «Типовое положение о подразделении по защите 532 информации от иностранных технических разведок и
от ее утечки по техническим каналам на предприятии (вучреждении, организации)». 51. СанПиН 2.2.2.542-96 «Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы». 52. ГОСТ Р 50948-96. «Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности». 53. ГОСТ Р 50949-96 «Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности». 54. ГОСТ Р 50923-96 «Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения». 55. Решение Гостехкомиссии России от 03.10.95 г. № 42 «Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и ее утечки по техническим каналам на объекте».
Список литературы Официальные документы: Венская конвенция ООН «О договорах международной купли-продажи товаров», 11.04.80. Мадридское соглашение «О международной регистрации товарных знаков», 14.04.91. Парижская конвенция «Об охране промышленной собственности», 20.03.83. Федеральный закон РФ № 5485-1 «О государственной тайне», 21.07.93. Федеральный закон РФ № 131-ФЗ «О внесении изменений и дополнений в Закон РФ «О государственной тайне», 6.10.97. Федеральный закон РФ «О международных договорах РФ», 16.07.95. Федеральный закон «Об участии в международном информационном обмене», 05.07.96. Федеральный закон РФ «Об информации, информатизации и защите информации», 25.01.95. Закон «О предприятиях и ограничения монополистической деятельности на товарных рынках», 21.03.91. Закон «Об иностранных инвестициях в РФ», 04.07.91. Указ Президента РФ № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации», 3.04.95. Указ Президента № 21 «О мерах по упорядочению раз534 работки, производства, реализации, приобретения
Список литературы в целях продажи, ввоза в РФ и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации», 09.01.96. Указ Президента РФ №188 «Об утверждении перечня сведений конфиденциального характера», 06.03.98. Указ Президента РФ № 61 «О перечне сведений, отнесенных к государственной тайне», 24.01.98. Постановление Правительства РФ № 973 «Об утверждении Положения о подготовке к передаче сведений, составляющих государственную тайну, другим государствам», 02.08.98. Постановление Правительства РФ № 564 «Об утверждении Положения о лицензировании деятельности по международному информационному обмену», 03.06.98. Распоряжение Правительства РФ «О мероприятиях по совершенствованию системы создания и защиты научно-технологических достижений и механизмов их использования в РФ», № 540-р, 20.04.95. «Положение о порядке контроля за вывозом из РФ товаров и технологий двойного назначения, экспорт которых контролируется», № 1172, 07.10.96. Государственная техническая комиссия при президенте Российской Федерации специальные требования и рекомендации по технической защите конфиденциальной информации. Руководящий документ Гостехкомиссии России «Защита от НСД к информации. Термины и определения». Проект федерального закона РФ «О праве на информацию». Извлечения из проекта закона РФ «О национальной безопасности».
Специальная литература: Аналитический отчет фирмы «Информационная индустрия», «Индустрия информации сегодня» // Человек и закон: Спецвыпуск.— 1995. 535
Слисок литературы Апполонский СМ. Справочник по расчету электромагнитных экранов.— Л.: Энергоатомиздат, 1988. БадаловА.Л., Михайлов А.С. Нормы на параметры электромагнитной совместимости РЭС.— М: Радио и связь, 1986. Бизнес и безопасность в России // Человек и закон.— 1996. Билько М.Н., Томашевский А.К. Измерения мощности на СВЧ. — М.: Радио и связь, 1986. Буга Н.Н., Конторович В.Я., Носов В.И. Электромагнитная совместимость РЭС.— М.: Радио и связь, 1993. Вартанесян В.А. Радиоэлектронная разведка.— М.: Воениздат, 1991. ВиницкийА.С. Автономные радиосистемы: Учебное пособие для вузов.— М.: Радио и связь, 1986. Высоцкий Б.Ф. Введение в специальность конструктора Р Э С — М: Высшая школа, 1990. Внешнеэкономический бизнес в России: Справочник / Под ред. И.П. Фаминского.— М.: Республика, 1997. Гавриш В.А. Практическое пособие по защите коммерческой тайны.— Симферополь: Таврия, 1994. Гасанов P.M. Шпионаж особого рода.— М.: Мысль, 1989. Гонда С, СэкоД. Оптоэлектроника в вопросах и ответах.— М.: Экономика, 1991. Граднев И.Н., Верник СМ. Линии связи: Учебник для вузов.— М.: Радио и связь, 1988. Демин А.И. Информационная теория экономики.— М.: Палев, 1996. Джеэволд У.С Секреты заключения международных сделок.— М., 1991. Информационно-коммерческая безопасность: защита коммерческой тайны.— СПб.: Безопасность бизнеса, 1993. Зиновьев А.А., Филиппов А.Н. Введение в специальность радиоинженера.— М: Высшая школа, 1989. Калинин А.А., Черепкова Е.А. Распространение радиоволн и работа радиолиний.— М.: Радиосвязь, 1963. Кащеев В.И. Мониторинг телефонной сети // Системы 536 безопасности.— 1995.— № 1.— С, 51.
Список литературы Кащеев В.И. Обеспечение информационной безопасности коммерческого объекта // Системы безопасности.— 1995.— октябрь — ноябрь. Козлов СБ., Иванов Е.В. Предпринимательство и безопасность.— М.: Универсум, 1991.— Т. 1, 2. Крысий А.В. Безопасность предпринимательской деятельности.— М.: Финансы и статистика, 1996. Куваева М.В., Чуфаровский Ю.В., Шиверский АЛ. Коммерческая информация: способы получения и защиты.— М.: Юрист, 1996. Курбатов В.И. Стратегия делового успеха.— Ростов-н/Д, 1995. Лебедев М.М. Уметь вести переговоры.— М.: АНКИЛ, 1991. Леонов С.Л. Радиолокационные средства ПВО.— М.: Воениздат, 1988. Ллойд К.Ф. Телефонный разговор с клиентом.— М., 1994. МазеркинД. Защита коммерческой тайны на предприятиях различных форм собственности // Частный сыск и охрана.— 1994. Мицич П. Как проводить деловые беседы.— М., 1987. Мухамедшин И.С. Коммерческая реализация, приобретение и правовая защита технологий // Экономика внешних связей России.— М.: БЕК, 1995. О концепции правового обеспечения информатизации России / Бачило Н.А., Белов Г.В., Копылов В.А. и др. // Труды Института законодательства и сравнительного правоведения при ВС РФ.— № 52.— 1992.—С. 4-17. Оптическая электроника / Василевский A.M. и др.— Л.: Энергоатомиздат, 1990. Орлов В.А., Петров В.И. Приборы наблюдения ночью и при ограниченной видимости.— М.: Воениздат, 1989. Палий А.Н. Радиоэлектронная борьба.— М.: Воениздат, 1989. Поляков В.Т. Посвящение в радиоэлектронику.— М.: Радио и связь, 1988. Полянский Э. Формула безопасности.— М.: Юридическая литература, 1991. 537
Список литературы Предприниматель в опасности: способы защиты / Казакевич О.Ю., Кочев Н.В., Максименко В.Г., Пипия А.Г., Шифн Н.И. / УППИКС— М., 1992. Руководство по организации защиты коммерческой тайны / Под ред. А.Ф.Мохова.— М: Минатомэнерго, 1991. Самойлов В. Система безопасности предприятия // Мы и безопасность.— 1996.— № 2.— С. 19-20. Сборник материалов по предпринимательству и внешнеэкономической деятельности. Коммерческие условия внешнеторговых сделок.— М: РОСБИ, 1996. Системы радиосвязи: Учебное пособие для вузов.— М.: Радио и связь, 1988. Съем информации по виброакустическому каналу // Системы безопасности.— 1995.— октябрь —ноябрь.— С. 56. Подслушивание телефонных переговоров и меры борьбы с подслушиванием // Телефония и телеграфия: Учебник академии связи. —Л., 1961.—С. 328-343. Уокер Ф. Электронные системы охраны.— М.: За и против, 1991. Халяпин Д.Б., Ярочкин В.И. Основы защиты информации.— М.: ИПКИР, 1994. Шиверский А.А. Защита информации: проблемы теории и практика.— М: Юрист, 1996. Цыкин Т.С. Усилители электрических сигналов.— М.: Энергоатомиздат, 1988. Экономическая безопасность предприятия: защита коммерческой тайны.— М.: Аналитик-пресса, 1991. Эрнст О. Слово предоставлено Вам. Практические рекомендации по ведению деловых бесед и переговоров.— М.: Экономика, 1988. Янг С, Эллисон А. Измерение шума машин.— М.: Энергоатомиздат, 1988. Ярочкин В.И. Безопасность информационных систем.— М.: Ось-89, 1996. Ярочкин В.И. Инструкция по защите конфиденциальной информации при работе с зарубежными партнерами.— М: ИПКИР, 1998. Ярочкин В.И. Несанкционированный доступ к источникам конфиденциальной информации // Яроч-
СиВ.И. итературы кин В.И. Предприниматель и безопасность.— М.: Ось-89, 1994. Ярочкин В.И. Обеспечение сохранения коммерческой тайны предприятия.— М.: ИПКИР, 1998. Ярочкин В.И. Технические каналы утечки информации.— М.: ИПКИР, 1994. Ярочкин В.И., Шевцова ГЛ. Каталог обобщенных мероприятий по защите конфиденциальной информации.— М.: ИПКИР, 1997.
Периодические издания: Иностранец.— 1995.— № 3- 17; 1996.— № 1 - 14. Журнал официальной информации КАДАСТР.1995.—№ 35.—сентябрь.—С. 57; 1996.—№41.ноябрь.— С. 15-28. Научная информация.— 1996.— № 19. Финансовая газета.— 1996.— № 18.— С. 7.
• Приложения 1. Руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения» 2. Доктрина информационной безопасности Российской Федерации 3. Перечень сведений, отнесенных к государственной тайне 4. Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» 5. Положение о лицензировании деятельности по технической защите конфиденциальной информации 6. Инструкция по защите конфиденциальной информации при работе с зарубежными партнерами 7. Обеспечение сохранения коммерческой тайны предприятия 540
8. Каталог обобщенных мероприятий по защите конфиденциальной информации
Приложения
|
9. Государственная техническая комиссия при Президенте Российской Федерации. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)
СОДЕРЖАНИЕ Введение КРЙЦЕПЦИЯ ИНФОРМАЦИОННО! БЕЗОПАСНОСТИ 1.1. 1.2. 1.3. 1.4.
2.1. 2.2. 2.3.
3.1. 3.2.
3 6
Основные концептуальные положения системы защиты информации 7 Концептуальная модель информационной безопасности 13 Угрозы конфиденциальной информации 18 Действия, приводящие к неправомерному овладению конфиденциальной информацией ... 22 НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
29
Правовая защита Организационная защита Инженерно-техническая защита
31 49 58
СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ
98
Общие положения Характеристика защитных действий
99 111
ПРЕСЕЧЕНИЕ РАЗГЛАШЕНИЯ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ 117 4.1. 4.2.
Общие положения Способы пресечения разглашения
118 125
ЗАЩИТА ИНФОРМАЦИИ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ
130
Общие положения Защита информации от утечки по визуальнооптическим каналам 5.3. Защита информации от утечки по акустическим каналам 5.4. Защита информации от утечки по электромагнитным каналам 5.5. Защита информации от утечки по материально-вещественным каналам
133
5.1. 5.2.
542
146 148 157 182
Содержание ПРОТИВОДЕЙСТВИЕ НЕСАНКЦИОНИРОВАННОМУ ДОСТУПУ К ИСТОЧНИКАМ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ 6.1. 6.2. 6.3. 6.4. 6.5. 6.6.
Способы несанкционированного доступа Технические средства несанкционированного доступа к информации Защита от наблюдения и фотографирования.... Защита от подслушивания Противодействие незаконному подключению к линиям связи Защита от перехвата
1В4 185 191 199 200 241 248
КОНФИДЕНЦИАЛЬНОСТЬ ПРИ РАБОТЕ С ЗАРУБЕЖНЫМИ ПАРТНЕРАМИ 257 7.1. 7.2.
Направления взаимодействия с зарубежными партнерами 257 Организация работы с зарубежными партнерами 281 ДУДИТ ИНФОРМАЦИОННОМ БЕЗОПАСНОСТИ
314
Аудит выделенных помещений Послесловие Приложения Список литературы Список приложений
315 326 334 534 540
Владимир Иванович Ярочкин ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Компьютерная верстка А. С. Щукин Корректор Ю. В. Рудык ООО «Академический Проект» Изд. лиц. № 04050 от 20.02.01. 111399, Москва, ул. Мартеновская, 3, стр. 4 Санитарно-эпидемиологическое заключение Департамента государственного эпидемиологического надзора № 77.99.02.953.Д.0086.63.11.03 от 28.11.2003 г. ООО «Гаудеамус» 115162, Москва, ул. Шухова, д. 21 По вопросам приобретения книги просим обращаться в ООО «Трикста»: 111399, Москва, ул. Мартеновская, 3, стр. 4 Тел.: (095) 305 3702; факс: 305 6088 E-mail:
[email protected] www.aprogect.ru Налоговая льгота — общероссийский классификатор продукции ОК-005-093, том 2; 953000 — книги, брошюры. Подписано в печать 10.02.2004. Формат 84x108/32. Гарнитура Балтика. Печать офсетная. Усл.-печ. л. 28,56. Тираж 3000 экз. Заказ № 877. Отпечатано в полном соответствии с качеством предоставленных диапозитивов в ОАО «Дом печати — ВЯТКА». , 610033, г. Киров, ул. Московская, 122.