Технический контроль эффективности принимаемых мер защиты. Основные средства технического контроля

Технический контроль предназначен для оценки эффективности и надежности принятых мер защиты от технической разведки.
Технический контроль проводится по различным физическим полям скрываемого объекта и включает несколько этапов:

1. подготовка исходных данных для контроля:

• ознакомление с объектом;
• анализ его демаскирующих признаков;
• уточнение видов и средств технической разведки, которым необходимо противодействовать;
• расчет возможных зон разведдоступности объекта;
• подготовка и проверка контрольно-измерительной аппаратуры (КИА);

1. измерение технических характеристик скрываемого физического поля объекта;
2. оценка эффективности принятых мер защиты путем сравнения измеренных параметров с нормативными показателями;
3. разработка рекомендаций по устранению выявленных недостатков и совершенствованию систем защиты объектов; написание акта технического контроля.
   Для качественного проведения технического контроля необходимо наличие трех элементов:

1. нормы эффективности защиты от технической разведки;
2. методики проведения технического контроля;
3. КИА с требуемыми характеристиками.

Нормы эффективности- это максимально допустимые значения контролируемых параметров физического поля на границе охраняемой территории.
Под методиками технического контроля понимается совокупность измерительных и расчетных операций и порядок их проведения в процессе проведения контроля.
КИА должна удовлетворять следующим требованиям:

1. обеспечивать непосредственное измерение контролируемого параметра;
2. чувствительность аппаратуры должна быть не хуже установленных норм.

В зависимости от содержания выполняемых операций технический контроль можно разделить на 3 разновидности:

1. инструментальный контроль (когда контролируемый параметр определяется непосредственно в процессе измерения);
2. инструментально-расчетный контроль (когда контролируемый параметр определяется путем расчета по исходным данным, полученным в процессе измерения);
3. расчетный контроль (когда контролируемые параметры определяются путем расчета по исходным данным, которые содержатся в руководящей и справочной документации.

Инструментальный контроль является основным и используется в тех случаях, когда КИА имеет требуемые характеристики. Инструментально-расчетный контроль используется в тех случаях, когда КИА либо имеет недостаточную чувствительность, либо не позволяет измерить непосредственно контролируемый параметр. Расчетный контроль используется в тех случаях, когда отсутствует КИА.

Предпроектная стадия (предпроектное обследование объекта информатизации, разработка аналитического обоснования создания СЗИ и технического (частного технического) задания на ее создание).

Содержание мероприятий на стадии проектирования и создания объекта информатизации и системы защиты информации в его составе

1. ^ Организация работ по защите информации в ходе создания и эксплуатации объектов информатизации и их систем защиты информации;

2. Выполняемые работы на предпроектной стадии по обследованию объекта информатизации;

3. Содержание аналитического обоснования необходимости создания системы защиты информации;

4. Содержание технического задания на разработку системы защиты информации;

5. Содержание работ на стадии проектирования и создания объекта информатизации и системы защиты информации в его составе.

Организация работ по защите информации в ходе создания и эксплуатации объектов информатизации и их систем защиты информации
Организация работ по защите информации возлагается на руководителя организации, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации – на руководителей подразделений по защите информации (служб безопасности организации).
Организация работ по защите информации при ее обработке техническими средствами определяется специальными требованиями и рекомендациями по технической защите информации (СТР-К), действующими национальными стандартами и другими нормативно-методическими документами ФСТЭК России, ранее государственная техническая комиссия при Президенте РФ (Гостехкомиссия России).
Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) системы защиты информации объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство создания объекта информатизации.
Разработка системы защиты информации может осуществляться как подразделением организации, так и другими специализированными организациями, имеющими лицензии ФСТЭК и/или ФСБ России на соответствующий вид деятельности.
В случае разработки систем защиты информации или ее отдельных компонентов специализированными организациями в организации-заказчике определяются подразделения или отдельные специалисты, ответственные за организацию и проведение мероприятий по защите информации.
Разработка и внедрение системы защиты информации осуществляется во взаимодействии разработчика со службой безопасности организации-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитического обоснования необходимости создания системы защиты информации, согласование выбора средств вычислительной техники и связи, технических и программных средств защиты организации работ по выявлению возможных каналов утечки информации или воздействия на нее и предупреждения утечки и нарушения целостности защищаемой информации, а также в аттестации объектов информатизации.
Организация работ по созданию и эксплуатации объектов информатизации и их системы защиты информации определены в разрабатываемом «Положении о порядке организации и проведении работ по защите конфиденциальной информации» или в приложении «К руководству по защите информации от утечки по техническим каналам на объекте» и должна предусматривать:

· Порядок определения защищаемой информации;

· Порядок привлечения подразделений организации, специализированных сторонних организаций, разработки и эксплуатации объектов информатизации и системы защиты информации, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;

· Порядок взаимодействия всех занятых в этой работе организаций подразделений и специалистов;

· Порядок разработки ввода в действие и эксплуатацию объектов информатизации;

· Ответственность должностных лиц за своевременность и качество формирования требований по защите информации, а качество и научно-технический уровень разработки системы защиты информации.

В организации должен быть документально оформленный «Перечень сведений конфиденциального характера», подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого род сведениям.
Запрещается включать в «Перечень» сведения, которые запрещено относить к конфиденциальной информации в соответствии с действующим законодательством РФ.
Например, в перечень сведений конфиденциального характера можно включить:

· Сведения, раскрывающие систему, средства защиты информации локально-вычислительных сетей организации от несанкционированного доступа, а также значение действующих кодов и паролей;

· Сводный перечень работ организации на перспективу, на год, квартал;

· Сведения содержащиеся в лицевых счетах пайщиков страховых взносов;

· Сведения, содержащиеся в индивидуальном лицевом счете застрахованного лица (бухгалтерская информация);

· Основные показатели (характеристики) задания на проектирование комплекса (установки) содержащей новизну. ^Новые (ноу-хау) технологии – различные технические, коммерческие и другие сведения, оформленные в виде технической документации;

· Методические материалы, типовые технологические и конструкторские решения, разработанные организацией и использованные при проектировании;

· Требования по обеспечению сохранности служебной тайны при выполнении работ в организации;

· Порядок передачи служебной информации ограниченного распространения другим организациям.

^ Рекомендуются следующие стадии создания системы защиты информации:

1. Предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания системы защиты информации и технического (частного технического) задания на ее создание;

2. ^ Стадия проектирования (разработки проектов), включает разработку системы защиты информации в составе объекта информатизации;

3. Стадия ввода в действие системы защиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствующие требования безопасности информации.

Выполняемые работы на предпроектной стадии по обследованию объекта информатизации
На предпроектной стадии по обследованию объекта информатизации выполняются следующие мероприятия:

1. Установление необходимости обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;

2. Определяется перечень сведений конфиденциального характера подлежащих защите;

3. Определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта;

4. Определяются условия расположения объекта информатизации относительно границ контролируемой зоны;

5. Определяются конфигурация и топология автоматизированной системы и систем связи в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

6. Определяются технические средства и системы, предполагаемые к использованию в разработанной автоматизированной системе и в системах связи, темные и прикладные программы средств, имеющиеся на рынке и предполагаемые к разработке;

7. Определяются режимы обработки информации в автоматизированных системах в целом и в отдельных компонентах;

8. Определяется класс защищенности в автоматизированной системе;

9. Определяется степень участия персонала в обработке (обсуждении, передачи, хранении) информации, характер их взаимодействия между собой и со службой безопасности;

10. Определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации.

Содержание аналитического обоснования необходимости создания системы защиты информации
По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания системы защиты информации.
На основе действующих нормативно-методических документов по технической защите конфиденциальной информации с учетом установленного класса защищенности автоматизированной системы задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку системы защиты информации.
Предпроектное обследование в части касающейся определения защищаемой информации должно базироваться на документально оформленного перечня сведений конфиденциального характера составленного заказчиком объекта информатизации и утверждается руководителями организации-заказчика.
^ Аналитическое обоснование необходимости создания системы защиты информации должно содержать:

1. Информационную характеристику и организационную структуру объекта информатизации;

2. Характеристику комплекса основных и вспомогательных технических средств, программное обеспечение, режимов работы, технологического процесса обработки информации;

3. Возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

4. Перечень предлагаемых к использованию сертифицированных средств защиты информации;

5. Обоснование необходимости привлечения специализированных организаций, имеющие необходимые лицензии на право проведения работ по защите информации;

6. Оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты информации;

7. Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование, согласовывается с главным конструктором (должностным лицом обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителями организации-заказчика.
Содержание технического задания на разработку системы защиты информации
Техническое (частное техническое) задание на разработку системы защиты информации должно содержать:

1. Обоснование разработки;

2. Исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;

3. Класс защищенности автоматизированных систем;

4. Ссылку на нормативно-методические документы, с учетом которых будет разрабатываться система защиты информации и приниматься в эксплуатацию объект информатизации;

5. Требования к системе защиты информации на основе нормативно-методических документов и установленного класса защищенности автоматизированной системы;

6. Перечень предполагаемых к использованию сертифицированных средств защиты информации;

7. Обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;

8. Состав, содержание и сроки проведения работ по этапам разработки и внедрения;

9. Перечень подрядных организаций-исполнителей видов работ;

10. Перечень предъявляемый заказчику научно-технической продукции и документации.

Техническое (частное техническое) задание на разработку системы защиты информации подписывается разработчиком, согласованным со службой безопасности организации-заказчика, подрядными организациями и утверждается заказчиком.
В целях дифференцированного подхода к защите информации производится классификация автоматизированных систем по требованиям защищенности от несанкционированного доступа к информации;
Класс защищенности автоматизированных систем от несанкционированного доступа к информации устанавливается совместно заказчиком и разработчиком автоматизированной системы с привлечением специалистов по защите информации соответствующих требованиям действующих нормативно-методических документов, а также СТР-К и оформляется актом.
Пересмотр класса защищенности автоматизированных систем производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.