Шрифт:
Интервал:
Закладка:
Специалистами предприятия разработаны действующие методики проведения специальных исследований, а также ведутся работы по их совершенствованию.
В настоящее время в ФГУП НПП «Гамма» работает более 50 сотрудников. Все рабочие группы укомплектованы выпускниками таких ведущих вузов страны, как МИФИ, МФТИ, МИРЭА, МЭИС, ВИКА им. А. Ф. Можайского. На счету наших сотрудников десятки авторских свидетельств, сотни печатных работ, несколько защищенных кандидатских диссертаций.
Предприятие аккредитовано в качестве органа по сертификации средств защиты информации по требованиям безопасности информации для проведения аттестации объектов информатизации.
Предприятие осуществляет деятельность практически во всех областях защиты информации и приглашает к сотрудничеству заинтересованные предприятия и организации.
***
проведения работ, связанных с созданием средств защиты информации] (внешний вид такой лицензии показан на рис. 2.2.1);
>• ФАПСИ [Лицензируемые виды деятельности: на право осуществления мероприятий и (или) оказанием услуг в области защиты государственной тайны (противодействие ИТР, защита информации от несанкционированного доступа); на право проведения работ, связанных с созданием средств защиты информации];
>• Служба внешней разведки [Лицензируемые виды деятельности: допуск к проведению работ, связанных с использованием сведений, составляющих государственную тайну (за рубежом); на право осуществления мероприятий и/или оказанием услуг в области защиты государственной тайны (режим секретности, противодействие ИТР, защита информации от несанкционированного доступа); на право проведения работ, связанных с созданием средств защиты информации];
>• Минобороны [Лицензируемые виды деятельности: на право проведения работ, связанных с созданием средств защиты информации].
В свою очередь, уполномоченные органы могут создавать аттестационные центры (региональные или отраслевые) по соответствующим направлениям деятельности. Если предприятие собирается развернуть деятельность на ниве защиты информации, то оно обязано подать заявление в уполномоченную организацию, которая, в свою очередь, дает аттестационному центру соответствующее поручение на проведение специальной экспертизы.
Результаты работы экспертной комиссии оформляются актом. Акт прилагается к заявлению о выдаче лицензии и направляется в уполномоченный орган, где и принимается окончательное решение. Срок действия лицензии устанавливается в зависимости от рода деятельности, но не менее 3-х и не более 5 лет. На каждый вид деятельности выдается отдельная лицензия.
Таким образом, если необходима действительно квалифицированная помощь, то лучше обращаться только в организации, имеющие лицензию. А теперь «информация к размышлению» для «информационных пиратов»:
подготовлены предложения об установлении административной ответственности за проведение работ в области защиты информации без лицензии или с нарушением условий лицензии. Эти предложения представлены в Государственную Думу с просьбой об их включении в Кодекс РФ об административных нарушениях.
Морально-этические — нормы и правила поведения, направленные на обеспечение безопасности информации, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения. В данной книге мы не будем касаться этих вопросов. Самое главное, что надо сделать для поддержания соответствующего настроя: во-первых, создать здоровый дружный коллектив, а во-вторых, дать своим сотрудникам хотя бы минимум знаний о мерах информационной безопасности. Нам приходилось наблюдать ситуации, когда руководство фирмы просит проверить помещение на наличие подслушивающих устройств, а в это время один из вице-президентов в курилке, кстати общей для нескольких организаций, хвастается выгодной сделкой, описывая весьма «интересные» детали.
Организационные — правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Подробно этот материал изложен в подразделе 2.2.2. Скажем только, что установка любых, самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не решены на должном уровне организационные вопросы. И это справедливо для любых каналов утечки. Конечно, введение разного рода ограничений — работа не из самых приятных, но это может дать весьма ощутимый эффект и значительно сэкономить средства. Особенно, если проведенный анализ (что защищать и от кого защищать) показал полное отсутствие угрозы от серьезной организации, способной использовать сложные технические средства или нанять «крутую» фирму.
Технические средства — комплексы специального технического и программного обеспечения, предназначенные для предотвращения утечки обрабатываемой или хранящейся у вас информации путем исключения несанкционированного доступа к ней с помощью технических устройств съема. Эти средства подробно описаны во второй части книги. В этом разделе остановимся только на вопросах сертификации аппаратуры такого рода, которые не менее актуальны, чем лицензирование. С принятием комплекса законодательных и иных нормативных актов правового регулирования в области сертификации средств защиты информации проблема обеспечения качества используемых для этих целей средств встала на прочную правовую основу.
«Положением о сертификации средств защиты информации», утвержденным постановлением Правительства РФ № 608 от 26.07.95 г., определено 5 систем сертификации. В Государственном реестре Госстандарта зарегистрированы соответственно:
>• ФАПСИ с системой сертификации средств криптографической защиты информации;
>• Гостехкомиссия с системой сертификации средств защиты по требованиям безопасности информации;
>• Минобороны с системой сертификации средств защиты, относящимся к его компетенции.
Работы по созданию других систем сертификации на момент написания книги пока не завершены. Системы предусматривают обязательную сертификацию технических, программно-технических и программных средств, предназначенных для обработки, передачи и хранения информации
Рис. 2.2.2. Внешний вид аттестата аккредитации испытательной лаборатории, выданный Гостехкомиссией России
с ограниченным доступом, а также средств защиты и контроля эффективности защиты информации. Системы сертификации призваны обеспечить потребителю средств защиты информации безопасную обработку любой информации ограниченного доступа. На конец 1998 года в системах аккредитовано 6 органов по сертификации (5 — при Гостехкомиссии и 1 — при ФАПСИ) и 46 испытательных лабораторий. Внешний вид аттестата аккредитации приведен на рис. 2.2.4.
Порядок сертификации предусматривает целый ряд действий, ограничивающих возможность распространения некачественной продукции. Итогом сертификационных испытаний является сертификат (рис. 2.2.3), срок которого ограничен интервалом времени до 5 лет.
Недостатком этой четкой системы является слабый инспекционный контроль за выпуском сертифицированной продукции. Но в целом, приобретая продукцию, прошедшую через такое сито, клиент имеет неплохие гарантии ее качества.
Сертификация является достаточно длительным и относительно дорогостоящим процессом. При отсутствии сертифицированных средств защиты (объектов информатики в защищенном исполнении) можно заменить систему сертификации системой аттестации. Под аттестацией объекта понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия», выданным уполномоченным на то органом (рис. 2.2.4), подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции. В соответствии с «Положением по аттестации объектов информатики по требованиям безопасности информации» (Утверждено Председателем Гостехкомиссии 25.11.94 г.) обязательной аттестации подлежат объекты информатики, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер.
Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем