Государственная тайна
Нормативной базой для создания системы защиты государственной тайны является закон «О государственной тайне» (№5485-1 от 21.07.1993 г.), постановления к нему (№608 от 26.06.1995 г. и др.) и другая нормативная документация, определяющая порядок построения систем защиты государственной тайны.
В соответствии с законом для организации, обрабатывающей государственную тайну, обязательным условием является наличие лицензии ФСБ «На осуществление работ с использованием сведений, составляющих государственную тайну».
В постановлении №608 определяется порядок сертификации средств защиты информации.
В «Положении по аттестации объектов информатизации по требованиям безопасности информации» от 25.11.1994 г. предусмотрена обязательная аттестация объектов, обрабатывающих государственную тайну.
Есть три типа таких объектов:
1) Автоматизированная система (АС - автономная ПЭВМ или локальная вычислительная сеть);
2) Выделенное помещение (ВП – для проведения секретных переговоров);
3) Система изготовления и размножения документов (СИРД – копировальная техника и т.п.).
При аттестации объектов информатизации часто приходится сталкиваться с проблемой определения контролируемой зоны организации. Проблема в том, что контролируемая зона (КЗ) должна быть непрерывной в организационном смысле (бесконтрольные посетители исключаются, КЗ принадлежит одной организации). Если точно следовать этим требованиям, то КЗ может уменьшиться до размеров одного кабинета, а расстояние до границы КЗ – очень важный параметр системы защиты.
После решения проблемы с КЗ необходимо сделать три вида работ по защите объекта:
1. Разработать комплект документов.
2. Купить средства защиты информации (СЗИ). СЗИ должны быть сертифицированы на соответствие требованиям безопасности информации. Поставлять СЗИ могут только организации, имеющие лицензию ФСТЭК «На проведение работ, связанных с созданием средств защиты информации».
3. Провести мероприятия по защите и получить аттестат соответствия. Работы по подготовке объекта к аттестации могут производить только организации, имеющие лицензию ФСТЭК «На осуществление мероприятий и оказание услуг в области защиты государственной тайны». Выдать аттестат соответствия могут только организации, имеющие «Аттестат аккредитации органа по аттестации», выданный ФСТЭК.
Объем работ зависит от типа объекта информатизации, количества рабочих мест (или объема помещения), сложности процесса обработки государственной тайны. Для АС, имеющей более 10 рабочих мест (или многокомнатного ВП) определить стоимость и сроки создания системы защиты без предварительного обследования невозможно.
Поэтому для больших объектов мы предлагаем провести обследование и разработать «Техническое задание на создание системы защиты объекта информатизации».
Главным ведомственным документом, определяющим порядок создания систем защиты государственной тайны (в т.ч. аттестации) является «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР)». Он утвержден Решением Гостехкомиссии России (с 2004 г. – ФСТЭК) от 23.05.1997 № 55. Этот документ имеет гриф «Секретно», организации-лицензиаты ФСБ могут заказать этот документ в Управлении ФСТЭК федерального округа.
В соответствии с законом для организации, обрабатывающей государственную тайну, обязательным условием является наличие лицензии ФСБ «На осуществление работ с использованием сведений, составляющих государственную тайну».
В постановлении №608 определяется порядок сертификации средств защиты информации.
В «Положении по аттестации объектов информатизации по требованиям безопасности информации» от 25.11.1994 г. предусмотрена обязательная аттестация объектов, обрабатывающих государственную тайну.
Есть три типа таких объектов:
1) Автоматизированная система (АС - автономная ПЭВМ или локальная вычислительная сеть);
2) Выделенное помещение (ВП – для проведения секретных переговоров);
3) Система изготовления и размножения документов (СИРД – копировальная техника и т.п.).
При аттестации объектов информатизации часто приходится сталкиваться с проблемой определения контролируемой зоны организации. Проблема в том, что контролируемая зона (КЗ) должна быть непрерывной в организационном смысле (бесконтрольные посетители исключаются, КЗ принадлежит одной организации). Если точно следовать этим требованиям, то КЗ может уменьшиться до размеров одного кабинета, а расстояние до границы КЗ – очень важный параметр системы защиты.
После решения проблемы с КЗ необходимо сделать три вида работ по защите объекта:
1. Разработать комплект документов.
2. Купить средства защиты информации (СЗИ). СЗИ должны быть сертифицированы на соответствие требованиям безопасности информации. Поставлять СЗИ могут только организации, имеющие лицензию ФСТЭК «На проведение работ, связанных с созданием средств защиты информации».
3. Провести мероприятия по защите и получить аттестат соответствия. Работы по подготовке объекта к аттестации могут производить только организации, имеющие лицензию ФСТЭК «На осуществление мероприятий и оказание услуг в области защиты государственной тайны». Выдать аттестат соответствия могут только организации, имеющие «Аттестат аккредитации органа по аттестации», выданный ФСТЭК.
Объем работ зависит от типа объекта информатизации, количества рабочих мест (или объема помещения), сложности процесса обработки государственной тайны. Для АС, имеющей более 10 рабочих мест (или многокомнатного ВП) определить стоимость и сроки создания системы защиты без предварительного обследования невозможно.
Поэтому для больших объектов мы предлагаем провести обследование и разработать «Техническое задание на создание системы защиты объекта информатизации».
Главным ведомственным документом, определяющим порядок создания систем защиты государственной тайны (в т.ч. аттестации) является «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР)». Он утвержден Решением Гостехкомиссии России (с 2004 г. – ФСТЭК) от 23.05.1997 № 55. Этот документ имеет гриф «Секретно», организации-лицензиаты ФСБ могут заказать этот документ в Управлении ФСТЭК федерального округа.