Объекты информатизации организации
ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения 12.05.1999
Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
ФСТЭК в своих руководящих документах трактует данное понятие несколько иначе. Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.
Средства информатизации – средства вычислительной техники и связи, оргтехники, предназначенные для сбора, накопления, хранения, поиска, обработки данных и выдачи информации потребителю.
Средства вычислительной техники – электронные вычислительные машины и комплексы, персональные электронные вычислительные машины, в том числе программные средства, периферийное оборудование, устройства телеобработки данных.
Объект вычислительной техники (ВТ) – стационарный или подвижный объект, который представляет собой комплекс средств вычислительной техники, предназначенный для выполнения определенных функций обработки информации к объектам вычислительной техники относятся автоматизированные системы (АС), автоматизированные рабочие места (АРМ) информационно-вычислительные центры (ИВЦ) и другие комплексы средств вычислительной техники.
К объектам вычислительной техники могут быть отнесены также отдельные средства вычислительной техники, выполняющие самостоятельные функции обработки информации.
Выделенное помещение (ВП) – специальное помещение, предназначенное для проведения собраний, совещаний, бесед и других мероприятий речевого характера по секретным или конфиденциальным вопросам.
Мероприятия речевого характера могут проводиться в выделенных помещениях с использованием технических средств обработки речевой информации (ТСОИ) и без них.
Техническое средство обработки информации (ТСОИ) – техническое средство, предназначенное для приема, хранения, поиска, преобразования, отображения и/или передачи информации по каналам связи.
К ТСОИ относятся средства вычислительной техники, средства и системы связи средства записи, усиления и воспроизведения звука, переговорные и телевизионные устройства, средства изготовления и размножения документов, кинопроекционная аппаратура и другие технические средства, связанные с приемом, накоплением, хранением, поиском, преобразованием, отображением и/или передачей информации по каналам связи.
Автоматизированная система (AC) – комплекс программных и технических средств, предназначенных для автоматизации различных процессов, связанных с деятельности человека. При этом человек является звеном системы.
Специальная проверка это проверка технического средства обработки информации осуществляемая с целью поиска и изъятия специальных электронных закладных устройств (аппаратных закладок).
Защищаемыми объектами информатизации в соответствии с СТР-К (Специальные требования и рекомендации по технической защите конфиденциальной информации) являются:
· средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно- цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;
· технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);
· защищаемые помещения.
Объект защиты информации – информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
В соответствии с данным определением можно классифицировать объекты защиты в соответствии с рисунком 8.1.
Рис. 8.1. Классификация объектов защиты
Существуют различные признаки, по которым классифицируется информация. С точки зрения защиты информации наиболее интересной является классификация по категории доступа.
В статье 5, ФЗ "Об информации, информационных технологиях и защите информации" от 27.7.2006 г. № 149-ФЗ, сказано: "Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа) ".
Документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную. Отнесение информации к государственной тайне осуществляется в соответствии с Законом Российской Федерации "О государственной тайне ". Перечень сведений, отнесенных к государственной тайне " опубликован в ст. 5 Закона РФ 1993 г. № 5485 "О государственной тайне ". Существует три степени секретности такой информации:
· Особой важности
· Совершенно Секретно
· Секретно
Информация в зависимости от порядка ее предоставления или распространения подразделяется на:
1. информацию, свободно распространяемую;
2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.
К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации. То есть, если журнал публикуется в Интернете и находится в открытом доступе по решению его создателей, они вправе требовать ссылки на источник в случае использования информации из него где-либо еще. К общедоступной также относится информация, доступ к которой нельзя ограничить. Примером может служить информация о состоянии окружающей среды, о деятельности органов государственной власти и органов местного самоуправления, документы, накапливаемые в открытых фондах библиотек и архивов. Так же в эту категорию можно отнести нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, правовое положение организаций и полномочия государственных органов, органов местного самоуправления.
Перечень сведений конфиденциального характера опубликован в Указе Президента РФ от 6.03.97 г. № 188 "Об утверждении перечня сведений конфиденциального характера". К видам конфиденциальной информации можно отнести следующее:
· Персональные данные - сведения о фактах, событиях и обстоятельствах частой жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленном федеральными законами случаях;
· Тайна следствия и судопроизводства - сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с ФЗ от 20 августа 2004 г. № 119-ФЗ и другими нормативными правовыми актами Российской Федерации;
· Служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
· Профессиональная тайна - сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.);
· Коммерческая тайна - сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
· Сведения о сущности изобретения - сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
На настоящее время защита информации на государственном уровне сконцентрирована вокруг вопросов обеспечения конфиденциальности информации. Тем не менее, современное развитие информатизации требует уделять больше внимания обеспечению таких свойств информации, как целостность и доступность. На практике же есть достаточно много форм деятельности, где доля конфиденциальной информации сравнительно мала. Например, для открытой информации приоритетными направлениями будет обеспечение целостности и доступности информации. Для платежных документов, отправляемых через системы дистанционного банковского обслуживания, наибольшую важность представляет целостность информации, так как если документ будет подделан, владелец может получить колоссальный финансовый ущерб. Следовательно, традиционный подход к защите информации с точки зрения обеспечения только конфиденциальности, требует существенной модернизации.
Порядок установления режима конфиденциальности информации
1. Определить перечень информации, которая будет составлять коммерческую тайну.
2. Ограничить доступ к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией. Его следует прописать в локальном нормативном акте.
Кроме того, должен быть установлен контроль за соблюдением данного порядка. Эта функция может быть возложена на руководителя отдела, начальника службы безопасности, главного бухгалтера.
3. Произвести учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.
4. Оформить дополнительные соглашения к трудовым договорам сотрудников, имеющих доступ к коммерческой тайне, о неразглашении информации.
В договоры гражданско-правового характера также нужно внести изменения в части соблюдения режима коммерческой тайны. В противном случае нельзя будет предъявить контрагенту претензии о неправомерном распространении информации.
5. Нанести на документы, содержащие информацию, составляющую коммерческую тайну, гриф «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц – полное наименование и место нахождения).
Если индивидуальный предприниматель не имеет работников, с которыми заключены трудовые договоры, то для установления режима ему достаточно осуществить следующие действия:
1. Нанести на документы гриф «Коммерческая тайна» с указанием своей фамилии, имени, отчества и места жительства.
2. Вести учет лиц, получивших доступ к информации, и (или) лиц, которым такая информация была предоставлена или передана.
3. Внести соответствующие пункты в гражданско-правовые договоры с контрагентами.
Приведенный перечень мер не является закрытым. Наряду с ними организация вправе применять средства и методы технической защиты конфиденциальности информации, другие меры, не противоречащие законодательству РФ. Меры по охране признаются разумно достаточными, если:
1) исключается доступ к конфиденциальной информации любых лиц без согласия ее обладателя;
2) обеспечивается возможность использования информации работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.
Организация охраны объектов информатизации
Аттестация объекта информатизации по требованиям безопасности информации представляет собой комплекс организационно-технических мероприятий, в результате которых подтверждается, что на аттестационном объекте выполнены требования по безопасности информации, заданные в нормативно-технической документации, утвержденные государственными органами обеспечения безопасности информации и контролируемые при аттестации.
Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации.
По окончании работ, при соблюдении всех нормативных требований, предприятию-заявителю выдается Аттестат соответствия, разрешающий обрабатывать информацию определенного уровня конфиденциальности.
Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия».
Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН) при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
Аттестация проводится органом по аттестации в установленном законодательством порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
· анализ исходных данных по аттестуемому объекту информатизации;
· предварительное ознакомление с аттестуемым объектом информатизации;
· проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
· проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
· проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
· проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
· анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации
Нормативная база, используемая при проведении аттестации объектов информатизации (ОИ), предназначенных для обработки конфиденциальной информации, включает в себя:
· Документы, определяющие порядок организации и проведения аттестации ОИ;
· Документы, в которых определены Критерии для проведения оценки соответствия ОИ.
Документы, определяющие порядок организации и проведения аттестации ОИ:
· Положение по аттестации объектов информатизации по требованиям безопасности информации. (Утвержден Председателем Гостехкомиссии России 25.11.94г.)
Документы, в которых определены Критерии для проведения оценки соответствия ОИ:
· Специальные требования и рекомендации по технической защите конфиденциальной информации. (Утверждены приказом Гостехкомиссии России от 30 августа 2002г. N 282.)
· Сборник временных методик оценки защищённости конфиденциальной информации, обрабатываемой техническими средствами и системами (Гостехкомиссия России, Москва, 2001 г.)
· Сборник руководящих документов по защите информации от НСД (Гостехкомиссия России, 1998 г).
Аттестат объекта защиты – документ, выдаваемый органом по сертификации или другим специально уполномоченным органом подтверждающий наличие на объекте защиты необходимых и достаточных условий для выполнения установленных требований и норм эффективности защиты информации.
Аттестат выделенного помещения – документ, выдаваемый органом по аттестации (сертификации) или другим специально уполномоченным органом, подтверждающий наличие необходимых условий, обеспечивающих надежную акустическую защищенность выделенного помещения в соответствии с установленными нормами и правилами.