Руководство по защите информации от несанкционированного доступа в вс рф утверждено приказом

Введен в действие
Приказом Председателя
Гостехкомиссии России
от 4 июня 1999 г. N 114

РУКОВОДЯЩИЙ ДОКУМЕНТ. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ

ЧАСТЬ 1. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ. КЛАССИФИКАЦИЯ ПО УРОВНЮ КОНТРОЛЯ ОТСУТСТВИЯ НЕДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ

Настоящий Руководящий документ (РД) устанавливает классификацию программного обеспечения (ПО) (как отечественного, так и импортного производства) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей.

Действие документа не распространяется на программное обеспечение средств криптографической защиты информации.

Уровень контроля определяется выполнением заданного настоящим РД набора требований, предъявляемого:

— к составу и содержанию документации, представляемой заявителем для проведения испытаний ПО СЗИ;

— к содержанию испытаний.

Руководящий документ разработан в дополнение РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», М., Военное издательство, 1992 г., РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», М., Военное издательство, 1992 г. и РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», М., 1997 г.

Документ предназначен для специалистов испытательных лабораторий, заказчиков, разработчиков ПО СЗИ при его контроле в части отсутствия недекларированных возможностей.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа.

1.2. Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований.

1.3. Для ПО, используемого при защите информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже третьего.

1.4. Самый высокий уровень контроля — первый, достаточен для ПО, используемого при защите информации с грифом «ОВ».

— Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «СС».

— Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом «С».

1.5. Самый низкий уровень контроля — четвертый, достаточен для ПО, используемого при защите конфиденциальной информации.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Недекларированные возможности — функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Реализацией недекларированных возможностей, в частности, являются программные закладки.

2.2. Программные закладки — преднамеренно внесенные В ПО функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.

2.3. Функциональный объект — элемент программы, осуществляющий выполнение действий по реализации законченного фрагмента алгоритма программы.

В качестве функциональных объектов могут выступать процедуры, функции, ветви, операторы и т.п.

2.4. Информационный объект — элемент программы, содержащий фрагмент информации, циркулирующей в программе. В зависимости от языка программирования в качестве информационных объектов могут выступать переменные, массивы, записи, таблицы, файлы, фрагменты оперативной памяти и т.п.

2.5. Маршрут выполнения функциональных объектов — определенная алгоритмом последовательность выполняемых функциональных объектов.

2.6. Фактический маршрут выполнения функциональных объектов — последовательность фактически выполняемых функциональных объектов при определенных условиях (входных данных).

2.7. Критический маршрут выполнения функциональных объектов — такой маршрут, при выполнении которого существует возможность неконтролируемого нарушения установленных правил обработки информационных объектов.

2.8. Статистический анализ исходных текстов программ — совокупность методов контроля (не)соответствия реализованных и декларированных в документации функциональных возможностей ПО, основанных на структурном анализе и декомпозиции исходных текстов программ.

2.9. Динамический анализ исходных текстов программ — совокупность методов контроля (не)соответствия реализованных и декларированных в документации функциональных возможностей ПО, основанных на идентификации фактических маршрутов выполнения функциональных объектов с последующим сопоставлением маршрутам, построенным в процессе проведения статистического анализа.

3. ТРЕБОВАНИЯ К УРОВНЮ КОНТРОЛЯ

3.1. Перечень требований

Таблица 1

N Наименование требования Уровень контроля
    4 3 2 1
  Требования к документации        
1. Контроль состава и содержания документации        
1.1 Спецификация (ГОСТ 19.202-78) + = = =
1.2 Описание программы (ГОСТ 19.402-78) + = = =
1.3 Описание применения (ГОСТ 19.502-78) + = = =
1.4 Пояснительная записка (ГОСТ 19.404-79) + = =
1.5 Тексты программ, входящих в состав ПО (ГОСТ 19.401-78) + = = =
  Требования к содержанию испытаний        
2. Контроль исходного состояния ПО + = = =
3. Статический анализ исходных текстов программ        
3.1. Контроль полноты и отсутствия избыточности исходных текстов + + + =
3.2. Контроль соответствия исходных текстов ПО его объектному (загрузочному) коду + = = +
3.3. Контроль связей функциональных объектов по управлению + = =
3.4. Контроль связей функциональных объектов по информации + = =
3.5. Контроль информационных объектов + = =
3.6. Контроль наличия заданных конструкций в исходных текстах + +
3.7. Формирование перечня маршрутов выполнения функциональных объектов + + =
3.8. Анализ критических маршрутов выполнения функциональных объектов + =
3.9. Анализ алгоритма работы функциональных объектов на основе блок-схем, диаграмм и т.п., построенных по исходным текстам контролируемого ПО + =
4. Динамический анализ исходных текстов программ        
4.1. Контроль выполнения функциональных объектов + + =
4.2. Сопоставление фактических маршрутов выполнения функциональных объектов и маршрутов, построенных в процессе проведения статического анализа + + =
5. Отчетность + + + +

Обозначения:

«-» — нет требований к данному уровню;

«+» — новые или дополнительные требования;

«=» — требования совпадают с требованиями предыдущего уровня.

3.2. Требования к четвертому уровню контроля

3.2.1. Контроль состава и содержания документации

В состав документации, представляемой заявителем, должны входить:

Спецификация (ГОСТ 19.202-78), содержащая сведения о составе ПО и документации на него;

Описание программы (ГОСТ 19.402-78), содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО;

Описание применения (ГОСТ 19.502-78), содержащее сведения о назначении ПО, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы.

Исходные тексты программ (ГОСТ 19.401-78), входящих в состав ПО.

Для ПО импортного производства состав документации может отличаться от требуемого, однако содержание должно соответствовать требованиям указанных ГОСТ.

3.2.2. Контроль исходного состояния ПО

Контроль заключается в фиксации исходного состояния ПО и сравнении полученных результатов с приведенными в документации.

Результатами контроля исходного состояния ПО должны быть рассчитанные уникальные значения контрольных сумм загрузочных модулей и исходных текстов программ, входящих в состав ПО.

Контрольные суммы должны рассчитываться для каждого файла, входящего в состав ПО.

3.2.3. Статический анализ исходных текстов программ

Статический анализ исходных текстов программ должен включать следующие технологические операции:

контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов;

контроль соответствия исходных текстов ПО его объектному (загрузочному) коду.

3.2.4. Отчетность

По окончании испытаний оформляется отчет (протокол), содержащий результаты:

контроля исходного состояния ПО;

контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне файлов;

контроля соответствия исходных текстов ПО его объектному (загрузочному) коду.

3.3. Требования к третьему уровню контроля

3.3.1. Контроль состава и содержания документации

Требования полностью включают в себя аналогичные требования к четвертому уровню контроля.

Кроме того, должна быть представлена «Пояснительная записка» (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п.

3.3.2. Контроль исходного состояния ПО

Требования полностью включают в себя аналогичные требования к четвертому уровню контроля.

3.3.3. Статический анализ исходных текстов программ

Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно предъявляются следующие требования:

контроль полноты и отсутствия избыточности исходных текстов ПО на уровне функциональных объектов (процедур);

контроль связей функциональных объектов (модулей, процедур, функций) по управлению;

контроль связей функциональных объектов (модулей, процедур, функций) по информации;

контроль информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);

формирование перечня маршрутов выполнения функциональных объектов (процедур, функций).

3.3.4. Динамический анализ исходных текстов программ

Динамический анализ исходных текстов программ должен включать следующие технологические операции:

контроль выполнения функциональных объектов (процедур, функций);

сопоставление фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

3.3.5. Отчетность

Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне функциональных объектов (процедур);

контроля связей функциональных объектов (модулей, процедур, функций) по управлению;

контроля связей функциональных объектов (модулей, процедур, функций) по информации;

контроля информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);

формирования перечня маршрутов выполнения функциональных объектов (процедур, функций);

контроля выполнения функциональных объектов (процедур, функций);

сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

3.4. Требования ко второму уровню контроля

3.4.1. Контроль состава и содержания документации

Требования полностью включают в себя аналогичные требования к третьему уровню контроля.

3.4.2. Контроль исходного состояния ПО

Требования полностью включают в себя аналогичные требования к третьему уровню контроля.

3.4.3. Статический анализ исходных текстов программ

Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно предъявляются следующие требования:

контроль полноты и отсутствия избыточности исходных текстов контролируемого программного обеспечения на уровне функциональных объектов (функций);

синтаксический контроль наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных программных конструкций;

формирование перечня маршрутов выполнения функциональных объектов (ветвей);

анализ критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;

построение по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п. и последующий сравнительный анализ алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в «Пояснительной записке».

3.4.4. Динамический анализ исходных текстов программ

Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно предъявляются следующие требования:

контроль выполнения функциональных объектов (ветвей);

сопоставление фактических маршрутов выполнения функциональных объектов (ветвей) и маршрутов, построенных в процессе проведения статического анализа.

3.4.5. Отчетность

Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

контроля полноты и отсутствия избыточности исходных текстов контролируемого программного обеспечения на уровне функциональных объектов (функций);

синтаксического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций;

формирования перечня маршрутов выполнения функциональных объектов (ветвей);

анализа критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;

построения по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п. и последующего сравнительного анализа алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в «Пояснительной записке»;

контроля выполнения функциональных объектов (ветвей);

сопоставления фактических маршрутов выполнения функциональных объектов (ветвей) и маршрутов, построенных в процессе проведения статического анализа.

3.5. Требования к первому уровню контроля

3.5.1. Контроль состава и содержания документации

Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.2. Контроль исходного состояния ПО

Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.3. Статический анализ исходных текстов программ

Кроме аналогичных требований, предъявляемых ко второму уровню контроля, дополнительно предъявляются следующие требования:

контроль соответствия исходных текстов ПО его объектному (загрузочному) коду с использованием сертифицированных компиляторов;

семантический контроль наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций.

3.5.4. Динамический анализ исходных текстов программ

Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.5. Отчетность

Кроме аналогичных требований, предъявляемых ко второму уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

контроля соответствия исходных текстов ПО его объектному (загрузочному) коду с использованием сертифицированных компиляторов;

семантического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций.

Источник

Важная информация

Информационное сообщение

В Министерстве обороны Российской Федерации во исполнение постановления Правительства Российской Федерации от 26 ноября 2021 г. № 2052 «Об утверждении Правил обращения со сведениями, составляющими служебную тайну в области обороны» издан приказ Министра обороны Российской Федерации от 17 января 2022 г. № 22 «Об утверждении Перечня сведений Вооруженных Сил Российской Федерации, подлежащих отнесению к служебной тайне в области обороны».

Данный приказ зарегистрирован в Министерстве юстиции Российской Федерации, опубликован на официальном интернет-портале правовой информации государственной системы правовой информации Министерства юстиции Российской Федерации (publication.pravo.gov.ru), размещен на официальном сайте Министерства обороны Российской Федерации (mil.ru) и вступил в действие с 12 марта 2022 г.

В переписке по вопросам сертификации средств защиты информации и лицензирования деятельности по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, необходимо строго руководствоваться требованиями положений вышеуказанных постановления Правительства Российской Федерации и приказа Министра обороны Российской Федерации (выписка из Перечня сведений Вооруженных Сил Российской Федерации, подлежащих отнесению к служебной тайне в области обороны (далее – Перечень) прилагается).

При этом сообщается, что граждане Российской Федерации за разглашение информации ограниченного доступа несут административную ответственность, установленную статьей 13.14 Кодекса Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ.

Выписка из Перечня в части вопросов сертификации средств защиты информации:

Сведения, составляющие служебную тайну в области обороны


п/п

Содержание

339

Сведения, содержащиеся в материалах сертификационных испытаний и раскрывающие состав, конфигурацию средств защиты информации, реализованные механизмы защиты информации от несанкционированного доступа в образцах ВВСТ, а также порядок их проверки.

340

Сведения, раскрывающие порядок проведения испытаний и оценки сертифицируемых образцов ВВСТ на соответствие требованиям безопасности информации.

343

Сведения, раскрывающие требования по защите информации, предъявляемые к создаваемым (модернизируемым) объектам информатизации или средствам защиты информации, а также содержание проводимых работ по созданию новых или модернизации существующих объектов информатизации, предназначенных для обработки служебной тайны в области обороны.

344

Сведения, раскрывающие перечни защищаемых ресурсов или параметры разграничения доступа к ним на объектах информатизации, а также состояние защищённости автоматизированных (информационных) систем, предназначенных для обработки информации, содержащей служебную тайну в области обороны.

345

Сведения, раскрывающие организацию или состояние защиты информации от несанкционированного доступа, иностранных технических разведок, утечки по техническим каналам, результаты выполнения, за исключением объектов информатизации, предназначенных для обработки сведений, составляющих государственную тайну.

346

Сведения, раскрывающие порядок настройки средств защиты информации и средств антивирусной защиты объектов информатизации, предназначенных для обработки информации, содержащей служебную тайну в области обороны.

348

Сведения, раскрывающие требования по безопасности информации, предъявляемые к образцам ВВСТ.

349

Сведения, раскрывающие организацию, обеспечение функционирования средств защиты информации от несанкционированного доступа на объектах информатизации, обрабатывавших информацию, содержащую служебную тайну в области обороны.

350

Сведения, раскрывающие организацию или состояние защиты информации, а также содержание мероприятий по обеспечению безопасности информации и результаты их выполнения на абонентских пунктах сети «Интернет».

352

Сведения, раскрывающие порядок устранения уязвимостей информационной безопасности и выпуска обновлений безопасности программного обеспечения автоматизированных (информационных) систем военного назначения.

353

Сведения, раскрывающие схему локальной вычислительной сети, предназначенной для обработки информации, содержащей служебную тайну в области обороны, и место размещения коммутационного оборудования воинской части.

Выписка из Перечня в части вопросов лицензирования деятельности по проведению работ, связанных с созданием средств защиты информации:

Сведения, составляющие служебную тайну в области обороны


п/п

Содержание

334

Совокупность сведений, раскрывающих содержание реестра организаций, имеющих лицензию Министерства обороны на проведение работ, связанных с созданием средств защиты информации, а также сертифицированных средств защиты информации Министерства обороны.

336

Сведения, раскрывающие результаты специальной экспертизы соискателя лицензии на вид деятельности в области защиты государственной тайны.

337

Сведения, раскрывающие содержание актов об устранении недостатков, выявленных при лицензировании деятельности воинских частей и организаций Вооруженных Сил в области защиты государственной тайны.

Выписка из Перечня в части вопросов лицензирования деятельности по проведению работ, связанных с использованием сведений, составляющих государственную тайну, и осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны:

Сведения, составляющие служебную тайну в области обороны


п/п

Содержание

333

Сведения, раскрывающие материалы по лицензированию и проведению специальной экспертизы воинских частей и организаций Вооруженных Сил на право проведения работ, связанных с осуществлением мероприятий и (или) оказанием услуг в области защиты государственной тайны, в части проведения специальных исследований технических средств, специальных проверок выделенных помещений, аттестации объектов информатизации по требованиям безопасности информации и контроля состояния технической защиты информации.

335

Сведения, раскрывающие содержание служебной переписки воинских частей и организаций Вооруженных Сил по проведению специальной экспертизы лицензиата (соискателя лицензии) на проведение работ, связанных с использованием сведений, составляющих государственную тайну, и с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, и государственной аттестации его руководителя.

336

Сведения, раскрывающие результаты специальной экспертизы соискателя лицензии на вид деятельности в области защиты государственной тайны.

337

Сведения, раскрывающие содержание актов об устранении недостатков, выявленных при лицензировании деятельности воинских частей и организаций Вооруженных Сил в области защиты государственной тайны.

338

Сведения, раскрывающие содержание служебной переписки воинских частей и организаций Вооруженных Сил по вопросу подтверждения степени секретности сведений, с которыми предприятия, учреждения и организации предполагают проводить работы, связанные с использованием сведений, составляющих государственную тайну.

Источник

Нормативные документы

 Закон Российской Федерации от 21.07.1993 № 5485-1 «О государственной тайне» 

Доктрина информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895)

Указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» от 30.11.1995 № 1203.

Распоряжение Президента Российской Федерации «О перечне должностных лиц органов государственной власти и организаций, наделяемых полномочиями по отнесению сведений к государственной тайне» от 16.04.2005 № 151-рп.

Постановление Правительства Российской Федерации «О сертификации средств защиты информации» от 26.06.1995 № 608.

Положение о сертификации средств защиты информации по требованиям безопасности информации, утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27.10.1995 № 199.

Сборник руководящих документов по защите информации от НСД. (Гостехкомиссия России, 1998):

1) Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Решение Гостехкомиссии России от 30.03.1992

2) Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Решение Гостехкомиссии России от 30.03.1992

3) Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Решение Гостехкомиссии России от 30.03.1992

4) Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Решение Гостехкомиссии России от 30.03.1992

5) Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. Решение Гостехкомиссии России от 30.03.1992

6) Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России 1997г

7) Руководящий документ. Защита информации. Специальные защитные знаки. Классификация и общие требования. Гостехкомиссии России 1997 г.

Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Приказ Гостехкомиссии России от 19.06.2002 № 187

Руководящий документ. Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом председателя Гостехкомиссии России от 04.06.1999 № 114

Руководящий документ. Средства защиты информации. Специальные и общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам. Гостехкомиссия России, 2000 г.

ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения

Источник

Современные военные действия ведутся не только на поле боя. Прямые боевые столкновения уступают место более изощренным способам враждебных действий. Используются гибридные методы, в которых важным оружием оказывается информация. Гибридные войны создают условия для развития гражданских войн, образуют на территории возможного противника информационный хаос. Возникает возможность косвенного воздействия на ситуацию в стране и управление событиями в ней с враждебными целями. 

Исходя из современных реалий, защита информации от несанкционированного доступа в ВС РФ становится одной из важных задач ведомства. 

Руководящие документы

Основными документами, регулирующими методы и средства защиты информации в ВС РФ, являются:

  • Доктрина информационной безопасности Российской Федерации. Утверждена Указом Президента от 05.12.2016 г.
  • Концепция национальной безопасности Российской Федерации. Принята 05.10.1999 г.
  • Стратегия национальной безопасности Российской Федерации до 2020 года. Вступила в силу 31.12.2015 г.

Это базовые документы, на основе которых разрабатывают отраслевые и войсковые приказы, руководства и прочие директивы, регулирующие порядок, методы и правила проведения мероприятий по защите информации от несанкционированного доступа. 

Кроме них, действуют законы Российской Федерации и директивы Федеральной службы по техническому и экспортному контролю (ФСТЭК). Также действуют все пакеты документов, постановления Правительства РФ, относящиеся к защите сведений, сохранению государственной тайны и прочей конфиденциальной информации. 

Источники угрозы

Вооруженные силы Российской Федерации располагают значительными информационными массивами, большинство из которых представляет собой сведения, составляющие государственную тайну. 

Базы данных содержат сведения разного характера:

  • технические – перечень сведений, параметров и конструкционных особенностей техники, стрелкового вооружения, прочих устройств, использующихся для выполнения боевых задач;
  • организационные – сведения о составе, дислокации воинских частей, перемещениях, задачах и мероприятиях, производимых в подразделениях Вооруженных Сил;
  • персональные – конфиденциальная информация личного состава.

Все перечисленные категории данных представляют интерес для разведывательных служб противника и находятся под угрозой. Необходимо учитывать, что, помимо технических устройств, в качестве объектов информации рассматриваются военнослужащие. Бойцы одновременно являются и источниками угрозы, и объектами защиты. Негативное информационно-психологическое воздействие на военнослужащего способно изменить его поведение и вынудить к враждебным действиям.

Защита информационных систем, технических и персональных данных, непосредственная охрана носителей становятся первоочередной задачей для армейских подразделений безопасности. Существующие угрозы необходимо отследить и нейтрализовать на ранних стадиях. Важно знать возможные способы получения информации, методы и действия противника по организации несанкционированного доступа к сведениям. 

Специалисты делят возможные угрозы на две группы: внутренние и внешние. Нередко одновременно возникают угрозы из обеих групп, когда с подачи внешних источников начинают действовать внутренние силы. Это увеличивает масштаб проблемы и усложняет задачу служб информационной безопасности. Однако необходимо осознавать взаимосвязь внешних и внутренних угроз, и действовать одновременно во всех направлениях. 

Внутренние угрозы 

Дестабилизация ситуации в регионах с напряженной социально-политической обстановкой, организованная в местах дислокации подразделений, частей или технических баз ВС РФ.

Направленное психологическое воздействие на моральный дух личного состава, реализованное в попытках фальсификации исторических событий; создание социальной напряженности, попытки втянуть войсковые соединения в политические конфликты.

Создание внутри подразделений определенных групп, выполняющих задачи, поставленные внешним руководством. Одним из опасных случаев такого влияния является внедрение радикального исламизма. Военнослужащие, прошедшие психологическую обработку, начинают считать себя членами религиозной общины, а не бойцами российской армии.

Все виды внутренних угроз создают опасность утечки информации любого типа. Независимо от того, производится информационное воздействие на всех военнослужащих данного соединения или выполняется обработка одного бойца, возможность несанкционированного доступа к информационным базам существенно возрастает. Люди, поставленные в определенные условия и должным образом замотивированные, способны создавать серьезные проблемы. 

Исследователи Gartner утверждают, что 60% людей способны пойти на преступление под гнетом обстоятельств. Определить сотрудников из групп риска помогает автоматизированный профайлинг. Узнать подробнее.   

Человеческий фактор создает опасность для различных систем:

  • комплексы координации и управления;
  • каналы военной связи;
  • оборудование космического базирования и ядерные объекты.

Вторжение враждебных сторон в системы управления относят к наиболее опасным угрозам. Примером подобного воздействия может служить крушение аппарата «Фобос-Грунт», вероятной причиной которого руководство Роскосмоса назвало перехват контроля по техническим каналам. Подобное мероприятие невозможно без участия собственных сотрудников центра управления полетами.

Опасным последствием действий внутренних факторов может стать искажение данных, намеренное внедрение ложной информации. Если подобную атаку предпринять на центр ПВО (противовоздушной обороны), возникнет угроза развязывания военного конфликта, вплоть до ядерного удара. Подобные прецеденты уже имели место. Известны случаи, когда в подразделениях ПВО или ракетных частях отмечались ложные сигналы о пуске ракет или о появлении летательных аппаратов вероятного противника. Происходил перехват показаний систем слежения (радаров). Сегодня такая опасность уменьшена, но полностью ее устранить пока не удается.

Внешние угрозы

Внешними угрозами принято называть те, источники которых расположены за пределами границ Российской Федерации. Это их основное отличие от внутренних угроз, так как цели и методы воздействия не меняются. Противники широко используют технические средства для получения доступа к конфиденциальной информации извне. 

Отмечается проведение активной работы по двум направлениям:

  • враждебные действия на объектах информатизации;
  • непосредственная обработка сознания военнослужащих.

В армиях противника существуют подразделения информационно-психологического воздействия для специальной обработки военнослужащих армии РФ. Используются различные методы:

  • ультразвук;
  • электромагнитные поля;
  • воздействие микроволнами.

Эти способы воздействия используются в качестве дополнения к вербальным или визуальным методам подачи информации. У людей, оказавшихся под воздействием, снижается способность критического мышления, и они легче принимают внушаемые сведения.

Помимо этого, на вооружении находятся медикаментозные и химические средства воздействия на психику, позволяющие получить контроль над действиями человека. С их помощью можно получить доступ к информации, который имеется у военнослужащего. Подобные методики считаются перспективными, хотя их возможности еще не изучены в достаточной степени. Основная сложность состоит в том, что инициатива находится в руках противника, а предугадать его действия крайне сложно. Поэтому для защиты государственной тайны и другой ценной информации от несанкционированного доступа принимаются всевозможные меры, используются наиболее мощные виды средств защиты информации.

Меры по обеспечению защиты информации

Все мероприятия, целью которых является обеспечение безопасности информации, можно разделить на две группы:

  • защита массивов информации от несанкционированного доступа;
  • защита личного состава от психологического воздействия.

Первая группа представляет собой комплекс мероприятий технического характера. В число активных действий входят следующие:

  • защита средств хранения и обработки информации от огневого поражения или диверсионных атак;
  • исключение возможности удаленного проникновения вероятного противника в базы данных;
  • защита информации от утечки по сетевым и техническим каналам, в том числе через проводные и беспроводные системы связи. Активное внимание уделяется контактам и действиям военнослужащих в социальных сетях;
  • радиоэлектронная защита;
  • использование компьютеров с установленными программными средствами отражения сетевых атак, удаленного соединения с неавторизованными или сомнительными пользователями. Для передачи информации используются только защищенные каналы с применением дополнительных средств защиты (шифрование);
  • использование для дезинформации противника социальных сетей, форумов и других информационных и сетевых ресурсов.

Помимо этого, необходимо применять все стандартные средства защиты информации на компьютерах – установка сложных паролей, шифрование данных, переименование папок.

Вторая группа мер защиты информации состоит из следующих действий: 

  • защита личного состава от психологического воздействия;
  • проверка и исправление информации, поступающей из внешних источников. Она может исходить от потенциального противника, поэтому необходимо тщательно контролировать содержание поступающих сведений.

Все мероприятия проводятся силами подразделений информационной безопасности, численность которых должна соответствовать объемам баз данных и численности личного состава части или другого подразделения.

Защита личного состава от психологического воздействия

В ходе гибридной войны противник будет использовать все доступные методы психологического воздействия на военнослужащих. Сегодня существует масса разработок, которые помогают замотивировать человека на враждебные действия, даже если это противоречит его профессиональным обязанностям или моральным нормам. В этом направлении работают научно-исследовательские институты, изучающие методики воздействия на психику. 

В рамках борьбы с информационно-психологическим воздействием проводятся следующие мероприятия:

  • научные исследования;
  • проведение психологической работы с военнослужащими;
  • целенаправленные мероприятия по защите личного состава от психологической обработки, распространения дезинформации.

Результатами этих действий должны стать устойчивость психики военнослужащих к внешним влияниям, сохранение боеспособности военнослужащих в условиях активного психологического прессинга.

Защита персональных данных

Не менее важным элементом защиты информации является охрана персональных данных (ПДн). Личные данные о военнослужащем и его семье может попасть в руки потенциального противника, что станет основой для провокаций, принуждения его к хищению или искажению конфиденциальной информации. 

Охраной персональных данных в ВС РФ занимается Восьмое управление Генштаба. Реализация мероприятий по исключению несанкционированной обработки, передачи или хищения сведений возлагается на командиров частей (капитанов кораблей). Назначается ответственное лицо, определяются перечни выделенных помещений для хранения ПДн. Хранение и обработка личной информации производятся в соответствии с требованиями законодательства. Доступ к сведениям получают только доверенные лица, назначенные приказом командира части. 

Превентивные меры воздействия

Эффективные методы борьбы предполагают использование превентивных мер, направленных на дезинформацию противника. Создаются условия, исключающие успешное проведение враждебных кампаний. 

В числе превентивных мероприятий:

  • предоставление противнику дезинформации о способах защиты данных;
  • уничтожение технических средств коммуникации, физических носителей данных;
  • создание помех для информационных систем противника;
  • поиск очагов поддержки противника на территории России, уничтожение и нейтрализация этих точек;
  • разведывательная деятельность с помощью доступных средств;
  • оказание психологического давления на войска противника.

Эти действия позволяют дезориентировать подразделения по информационной борьбе, действующие в армии противника. Мероприятия проводятся в непрерывном режиме. Основной их целью является разрушение планов противника еще до момента их реализации.

15.10.2019

Источник

Данный архив содержит шаблоны документов по защите информации в целом и по защите персональных данных в частности.

1. Раздел «Общее» — документы, утверждение которых, как правило необходимо для любой системы, независимо от ее классификации:
  • Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информации
  • Инструкция администратора безопасности
  • Инструкция ответственного за организацию обработки персональных данных
  • Приказ о назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них
  • Инструкция по реагированию на инциденты информационной безопасности
  • Инструкция пользователя государственной информационной системы
  • Приказ об утверждении внутренних нормативных актов по защите информации
  • Политика информационной безопасности в составе:
  • — Общие положения
  • — Технологические процессы обработки защищаемой информации в информационных системах
  • — Правила и процедуры идентификации и аутентификации пользователей, политика разграничения доступа к ресурсам информационной системы
  • — Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения
  • — Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники
  • — Правила и процедуры выявления, анализа и устранения уязвимостей
  • — Правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации
  • — Правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций
  • — Форма заявки на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам информационной системы
  • — Форма задания на внесение изменений в списки пользователей информационной системы
  • — Форма положения о разграничении прав доступа (ролевая система допуска к ресурсам)
  • — Форма перечня лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы
  • — Форма перечня помещений, в которых разрешена работа с ресурсами информационной системы, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения
  • — Форма списка разрешающих правил взаимодействия с внешними телекоммуникационными сетями
  • — Форма списка разрешенного программного обеспечения в информационной системе
  • — Форма списка прикладного программного обеспечения информационной системы, доступного внешним пользователям
  • — Форма списка пользователей, которым в соответствии с должностными обязанностями предоставлен удаленный доступ к информационной системе
  • — Порядок резервирования информационных ресурсов
  • — План обеспечения непрерывности функционирования информационной системы
  • Приказ об организации контролируемой зоны
  • Положение о контролируемой зоне
  • План мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационной системе
  • Форма журнала учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники
  • Форма журнала учета портативных вычислительных устройств, имеющих встроенные носители информации
  • Форма журнала учета приема/выдачи съемных машинных носителей информации
  • Форма журнала учета средств защиты информации
  • Форма журнала учета периодического тестирования средств защиты информации
  • Форма журнала проведения инструктажей по информационной безопасности
  • Форма журнала учета мероприятий по контролю обеспечения защиты информации
2. Раздел «Только ГИС» — небольшая подборка документов, которые необходимы для государственных или муниципальных информационных систем:
  • Приказ о необходимости защиты информации, содержащейся в государственной информационной системе
  • Приказ о необходимости защиты информации, содержащейся в муниципальной информационной системе
  • Приказ о классификации государственной информационной системы
  • Форма акта классификации государственной информационной системы
  • Приказ о вводе в эксплуатация государственной информационной системы
3. Раздел «ПДн» — документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами:
  • Положение о защите и обработке персональных данных в составе:
  • — Общие положения
  • — Основные понятия и состав персональных данных
  • — Общие принципы обработки персональных данных
  • — Порядок сбора и хранения персональных данных
  • — Процедура получения персональных данных
  • — Передача персональных данных третьим лицам
  • — Трансграничная передача персональных данных
  • — Порядок уничтожения и блокирования персональных данных
  • — Защита персональных данных
  • — Согласие на обработку персональных данных
  • — Организация доступа работников к персональным данным субъектов
  • — Организация доступа субъекту персональных данных к его персональным данным
  • — Права и обязанности оператора персональных данных
  • — Права и обязанности работников, допущенных к обработке персональных данных
  • — Права субъекта персональных данных
  • — Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
  • Правила рассмотрения запросов субъектов персональных данных или их представителей
  • Приказ об утверждении перечня лиц, допущенных к обработке персональных данных
  • Форма перечня лиц, допущенных к обработке персональных данных
  • Политика в отношении обработки персональных данных
  • Приказ об определении уровня защищенности персональных данных
  • Форма акта определения уровня защищенности персональных данных
  • Правила обработки персональных данных без использования средств автоматизации
  • Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные
  • Форма акта уничтожения персональных данных
  • Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении
  • Форма согласия субъекта на обработку его персональных данных
  • Положение о системе видеонаблюдения
  • Форма соглашения о неразглашении персональных данных
  • Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав
4. Раздел «СКЗИ» — документы, необходимые при использовании в системе защиты информации криптографических средств
  • Приказ о порядке хранения и эксплуатации средств криптографической защиты информации
  • Форма перечень сотрудников, допущенных к работе с СКЗИ
  • Инструкция по обеспечению безопасности эксплуатации СКЗИ
  • Форма акта об уничтожении криптографических ключей и ключевых документов
  • Схема организации криптографической защиты информации
5. Модель угроз безопасности информации

Источник

Понравилась статья? Поделить с друзьями:
  • Индапамид инструкция по применению при каком давлении как принимать дозировка
  • Руководство по региональное управление
  • Лазолван беби инструкция по применению сироп
  • Кофеин в таблетках для повышения давления инструкция по применению взрослым
  • Должностная инструкция бухгалтера калькулятора в общепите скачать бесплатно