Файл: Учебное пособие Воронеж 2006 гоувпо Воронежский государственный технический университет.doc

Основными схемами проведения сертификации средств защиты информации являются:

для единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;

для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований.

Кроме того, допускается предварительная проверка производства по специально разработанной программе.

Срок действия сертификата не может превышать пяти лет.

Испытания сертифицируемых средств защиты информации проводятся на образцах, технология изготовления и конструкция (состав) которых должны соответствовать образцам, поставляемым потребителю (заказчику).

В отдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. При этом орган по сертификации средств защиты информации определяет условия, необходимые для обеспечения объективности результатов испытаний.

В случае отсутствия к началу проведения сертификации аккредитованных испытательных лабораторий орган по сертификации средств защиты информации определяет возможность, место и условия проведения испытаний, обеспечивающие объективность их результатов.

Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.

При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертификата и направляет изготовителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата изготовитель имеет право обратиться в центральный орган системы сертификации, федеральный орган по сертификации или в Межведомственную комиссию для дополнительного рассмотрения полученных при испытаниях результатов.

Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют

---

право приостанавливать или аннулировать действие сертификата в следующих случаях:

изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;

изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;

отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.

Порядок оплаты работ по обязательной сертификации средств защиты информации определяется федеральным органом по сертификации по согласованию с Министерством финансов Российской Федерации. Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации.

Инспекционный контроль за сертифицированными средствами защиты информации осуществляют органы, проводившие сертификацию этих средств защиты информации.

При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в орган по сертификации средств защиты информации, в центральный орган системы сертификации, в федеральный орган по сертификации или в Межведомственную комиссию. Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованных сторон и извещают подателя апелляции о принятом решении.

Органы, осуществляющие сертификацию средств защиты информации, несут ответственность, установленную законодательством Российской Федерации, за выполнение возложенных на них обязанностей, обеспечение защиты государственной тайны и других конфиденциальных сведений, сохранность материальных ценностей, предоставленных изготовителем, а также за соблюдением авторских прав изготовителя при сертификационных испытаниях средств защиты информации.
10. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ,
СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ
10.1. Организация защиты информации, составляющей государственной тайны, на предприятиях,

в организациях и учреждениях
Согласно ст. 20 Закона “О государственной тайне” органы государственной власти, предприятия, учреждения и организации (далее – предприятия) обеспечивают защиту сведений, составляющих государственную тайну

---

, в соответствии с возложенными на них задачами и в пределах своей компетенции. Защита государственной тайны является видом основной деятельности предприятия.

Организация работ по защите государственной тайны на предприятиях осуществляется их руководителями. В зависимости от объема работ руководителем предприятия создается структурное подразделение по защите государственной тайны либо назначаются штатные специалисты по этим вопросам.

Общие требования по организации и проведению работ по защите государственной тайны устанавливаются в Инструкции, утверждаемой Правительством РФ. Такая инструкция содержит требования по обеспечению пропускного режима, охраны территории объекта, доступу персонала на территорию, по порядку обращения с секретными документами, защите информации от технических разведок, от ее утечки по техническим каналам, а также другие требования.

Одной из важных задач подразделения по защите государственной тайны является защита информации, составляющей эту тайну, от технических разведок, утечки информации по техническим каналам, несанкционированного доступа к информации в системах информатизации и связи. При значительном объеме работ по решению этой задачи на предприятии может создаваться специальное структурное подразделение защиты информации.

Подразделения защиты информации (штатные специалисты)на предприятиях выполняют следующие функции:

• 
  определяют (совместно с заказчиками) основные направления работ по защите информации;
  
• 
  участвуют в согласовании технических заданий на проведение работ по защите информации;
  
• 
  дают заключение о возможности проведения работ с информацией, содержащей сведения, отнесенные к государственной тайне.
  
• 
  участвуют в выполнении мероприятия по защите информации;
  
• 
  осуществляют контроль за выполнением и эффективностью проводимых мероприятий.
  

Они подчиняются непосредственно руководителю предприятия или его заместителю и обеспечиваются средствами защиты информации и контроля в соответствие со специализацией предприятия.

Для проведения работ по защите информации могут привлекаться на договорной основеспециализированные предприятия и организации, имеющие лицензиина проведения работ в области защите информации.

Правовой основой для организации защитыинформации, составляющей государственную тайну, служат действующий на предприятии

---

Перечень сведений, подлежащих засекречиванию, который содержит выписки из отраслевых (ведомственных, программно-целевых) развернутых перечней сведений, подлежащих засекречиванию.

Общая технологическая схема организации защиты информации, составляющей государственную тайну, представляет собой последовательную (при необходимости - итерационную) процедуру, показанную на схеме 10.1 и включающую:

• 
  оценку угроз безопасности информации и состояния защиты информации на предприятии;
  

• 
  определение целей и задач защиты информации, принятия решения о мерах защиты информации;
  

• 
  планирования мероприятий по ее защите информации;
  
• 
  постановки задач исполнителям работ, организации их взаимодействия и всестороннего обеспечения;
  
• 
  выполнения запланированных мероприятий;
  
• 
  контроля выполнения мероприятий и оценки их эффективности.
  

В качестве исходных данных для организации процесса защиты информации используются:

• 
  содержание используемой информации, степень ее секретности, объемы информации;
  
• 
  характеристики применяемых носителей информации;
  
• 
  описания протекающих информационных процессов;
  
• 
  требования по вопросам защиты информации, содержащиеся в законодательных, организационно-распорядительных и нормативных документах;
  
• 
  содержание программ и планов работ учреждения, в том числе по вопросам защиты государственной тайны;
  
• 
  информация, содержащаяся в каталогах, справочниках, пособиях и других информационных документах по вопросам защиты информации.
  

Всю процедуру организации защиты информации можно условно разбить на три этапа.

На первом этапе, прежде всего, определяется перечень сведений, подлежащих защите, выявляются возможные угрозы безопасности информации, и разрабатывается модель таких угроз, проверяется выполнение требований по защиты информации.


Схема 10.1. Технологическая схема организации защиты информации на предприятии (в учреждении, организации)



Исходя из целей и задач деятельности учреждения, выявленных недостатков по обеспечению защиты информации формулируются цели информации, разрабатывается замысел их достижения, определяются задачи, требующие решения. При определении целей защиты учитываются действующие на предприятии развернутые перечни сведений, подлежащих засекречиванию и носители этих сведений.

---

На втором этапе разрабатываются предложения по способам и средствам защиты информации, обеспечивающих решение задач защиты информации, осуществляется оценка их технической реализуемости, стоимости, выбираются рациональные способы и средства защиты информации и контроля ее эффективности, планируется их применение. Далее осуществляется постановка задач исполнителям работ, их обучение, организация их взаимодействия при решении совместных задач, подготовка необходимых организационно-распорядительных, нормативных и методических документов, а также техническое обеспечение мероприятий по защите информации.

На третьем этапе в ходе аттестации объектов защиты проверяется выполнение требований по защите информации с учетом принятых мер в конкретных условиях эксплуатации объектов. Непосредственное применение способов и средств защиты информации сопровождается повседневным и инспекционным контролем выполнения мероприятий по защите информации, оценкой их эффективности, а также общей оценкой состояния информации на объекте.

При практической реализации представленной выше технологической схемы возможно возникновение нескольких итераций выполнения работ. Например, если из-за ограниченности выделяемых ресурсов не удается реализовать эффективные способы защиты некоторых объектов, то возможно изменение цели и задач защиты информации. Такое изменение может быть выполнено только по с разрешения заказчика проводимых работ, а, если это связано с изменением перечня засекречиваемых сведений, то только по решению органа государственной власти, наделенного полномочиями по распоряжению этими сведениями.

Цели и задачи защиты информации, а также все связанные с ними организационные и технические мероприятия могут также быть изменены по результатам контроля эффективности защиты информации в процессе жизненного цикла объекта защиты. Такое изменение, например, возможно при выявлении новых каналов утечки информации или обнаружении неэффективности выполняемых мер защиты или при изменении условий, в которых осуществляется функционирование защищаемого объекта.

Конкретное содержание и порядок организации и осуществления мероприятий по защите информации на объекте определяется действующим на этом объекте Руководством по защите информации.

Руководство должно включать из следующие разделы:

---