Разработка методов и средств проведения экспертизы и контроля качества защиты информации и информационных ресурсов, в том числе вопросов оценки базовых общесистемных программных средств на соответствие требованиям информационной безопасности

ИНСТРУКЦИЯ  о порядке проведения экспертиз предприятий,

учреждений  и организаций  на право получения лицензии в области защиты информации 

     1. Настоящая Инструкция разработана  в соответствии с требованиями "Положения о государственном  лицензировании деятельности в  области защиты информации", утвержденного  совместными решениями Гостехкомиссии  России и ФАПСИ от 24.04.94 г. № 10 и от 24.06.97 г. № 60, Закона Российской Федерации "Об образовании" от 13.01.96 г. и Постановления Госкомвуза России от 27.12.95 г. № 13.

     2. Настоящая Инструкция определяет  порядок организации и проведения  специальных экспертиз (далее - экспертиз) предприятий, учреждений и организаций, в том числе и образовательных учреждений (далее - предприятия) с целью оценки достаточности необходимых условий, имеющихся на предприятиях, для получения лицензии (разрешения на оказание услуг) в области защиты информации, выдаваемой Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России).

Организация проведения экспертиз предприятий

     3. Экспертизы организуются и проводятся  созданными совместными Решениями  отраслевыми и региональными лицензионными центрами, а также лицензионными центрами Гостехкомиссии России.

     4. Проведение экспертиз осуществляется  экспертными комиссиями.

Экспертные  комиссии формируются лицензионными  центрами из числа компетентных в  соответствующих областях защиты информации специалистов отраслей промышленности, Вооруженных Сил, органов государственного управления, других организаций и учреждений, включая и специалистов центрального аппарата Гостехкомиссии России.

     5. Для проведения экспертиз предприятия обращаются в центральный аппарат Гостехкомиссии России или в лицензионные центры (по согласованию со 2 Управлением Гостехкомиссии России) с заявлениями, подписанными руководителями предприятий или их заместителями.

               6. Сроки работы экспертной комиссии доводятся до руководителя предприятия не позднее 5 дней до ее начала.

     7. Экспертиза проводится по договору  между предприятием и лицензионным  центром. Расходы по проведению  экспертизы относятся на счет  предприятия. Для предприятий  и учреждений, содержащихся за счет средств федерального бюджета, стоимость экспертизы не должна превышать 10 минимальных размеров оплаты труда без учета командировочных расходов. Оплата работы членов экспертной комиссии осуществляется лицензионным центром.

     8. Экспертизы проводятся путем оценки соответствия готовности предприятий - заявителей к оказанию услуг в области защиты информации требованиям, предъявляемым Гостехкомиссией России, по следующим направлениям:

- наличие  руководящих и нормативно - методических  документов, необходимых для обеспечения заявленных видов деятельности;

- наличие  подготовленных сотрудников по  защите информации;

наличие помещений, производственного, испытательного и контрольно-измерительного оборудования, необходимого для обеспечения заявленных видов деятельности;

- наличие  документов, дающих право на подготовку, повышение квалификации и профессиональную  подготовку специалистов в области  защиты информации.

     9. Наличие руководящих и нормативно - методических документов проверяется  с учетом Приложения № 1 настоящей Инструкции.

При определении  достаточности у соискателей  лицензий комплектов нормативных документов, необходимых для осуществления  заявленных видов деятельности, оцениваются  условия их хранения и работы с  ними.

     10. Результаты работы экспертной комиссии оформляются в виде экспертного заключения, утверждаемого руководителем лицензионного центра. В экспертном заключении делается вывод о готовности предприятия оказывать услуги в области защиты информации в соответствии с заявленными видами деятельности. Экспертное заключение прилагается к заявлению о выдаче лицензии, которое предприятием направляется в Гостехкомиссию России.

     11. Наличие подготовленных сотрудников  по защите информации проверяется  с учетом требований по уровню  квалификации, изложенных в Приложении № 2 настоящей Инструкции.

     12. Требования к помещениям, предназначенным  для проведения измерений при  предварительных и лабораторных  специсследованиях (сертификации  продукции), и их технической и  технологической оснащенности рассматриваются как совокупность нормативно - технологических требований к разработанной технологии проведения измерений, измерительной аппаратуре, помещениям, стендам, а также к организации их содержания, обслуживания и поверки, выполнение которых позволяет предприятию, претендующему на проведение указанных в заявке работ, получить лицензию на право их проведения. Кроме того, на предприятии, претендующем на получение лицензии, должны быть выделены помещения, обеспечивающие сохранность исследуемых технических средств заказчика и документов.

     13. Каждый определенный в заявке  вид работ по защите информации  должен быть обеспечен средствами  измерений и контроля в объеме  и по качеству достаточными  для проведения в соответствии  с действующими на момент заявления  методиками измерений параметров технических средств. Допускается использование средств измерений на условиях аренды.

     14. Лицензионным центрам ежегодно, к 1 февраля, представлять в  Гостехкомиссию России отчет  о деятельности лицензиатов по  установленной форме.  
 
 

Сущность  понятия «информационная  безопасность»

Содержание  понятия 

     В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

     Информационная  безопасность организации — состояние  защищённости информационной среды  организации, обеспечивающее её формирование, использование и развитие.

     Информационная  безопасность государства — состояние  сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.

     В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью. 

Стандартизированные определения 

     Безопасность  информации (данных) — состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.

     Информационная  безопасность — защита конфиденциальности, целостности и доступности информации.

     Конфиденциальность: обеспечение доступа к информации только авторизованным пользователям.

     Целостность: обеспечение достоверности и  полноты информации и методов  её обработки.

     Доступность: обеспечение доступа к информации и связанным с ней активам  авторизованных пользователей по мере необходимости.

     Информационная  безопасность (англ. information security) — все  аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и  достоверности информации или средств её обработки.

     Безопасность  информации (данных) (англ. information (data) security) — состояние защищенности информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность  и целостность.

     Безопасность  информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.

     Безопасность  информации (при применении информационных технологий) (англ. IT security) — состояние защищенности информационной технологии, обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

     Безопасность  автоматизированной информационной системы — состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.

     Информационная  безопасность - защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий  естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура - системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т.д., а также обслуживающий персонал. Неприемлемый ущерб - ущерб, которым нельзя пренебречь. 
 
 
 
 

Исторические  аспекты возникновения  и развития информационной безопасности 

     Объективно  категория «информационная безопасность»  возникла с появлением средств информационных коммуникаций между людьми, а также  с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путём воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.

     Учитывая  влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов:

     I этап — до 1816 года — характеризуется  использованием естественно возникавших  средств информационных коммуникаций. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение.

     II этап — начиная с 1816 года  — связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи. Для обеспечения скрытности и помехозащищенности радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого кодирования сообщения (сигнала) с последующим декодированием принятого сообщения (сигнала).

     III этап — начиная с 1935 года  — связан с появлением радиолокационных  и гидроакустических средств.  Основным способом обеспечения  информационной безопасности в  этот период было сочетание  организационных и технических мер, направленных на повышение защищенности радиолокационных средств от воздействия на их приемные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.

     IV этап — начиная с 1946 года  — связан с изобретением и  внедрением в практическую деятельность электронно-вычислительных машин (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации.

     V этап — начиная с 1965 года — обусловлен созданием и развитием локальных информационно-коммуникационных сетей. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём администрирования и управления доступом к сетевым ресурсам.

     VI этап — начиная с 1973 года  — связан с использованием  сверхмобильных коммуникационных  устройств с широким спектром  задач. Угрозы информационной  безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей — хакеров, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности — важнейшей и обязательной составляющей национальной безопасности. Формируется информационное право — новая отрасль международной правовой системы.