2.2. Организация защиты информации

2.2.1. Основные понятия информационной безопасности

После знакомства с некоторыми правовыми актами, которые регулируют (или по крайней мере должны регулировать) деятельность тех лиц, чья сфера интересов находится в области защиты информации или ее съема, вернемся к тому вопросу, с которого начали эту книгу. Что же все-таки такое концепция информационной безопасности? Громкое название этого мероприятия никого не должно вводить в заблуждение. Если отбросить научную, а скорее околонаучную фразеологию, то концепция информационной безопасности как система взглядов на цели, способы обеспечения безопасности информации и средства ее защиты должна в общем виде отвечать на три простых вопроса: что защищать; от чего защищать; как защищать?

С вопросом «что защищать?» связано понятие «объект защиты». Этот вопрос может вызвать недоумение: ясно, что речь идет об информации, значит ее и нужно защищать. А в нашем случае это набор определенных сведений. Но тут всплывает одно из главных свойств информации, вытекающее из самой ее природы. Ее феномен в том, что в физическом, а не в философском плане она подразумевает свой носитель, то есть выражение «получить доступ к информации» следует понимать, как получение доступа к вполне определенному носителю. Это может быть подслушанный разговор, украденный документ, перехваченный факс, выпотрошенный компьютер и т. д. О каналах утечки информации мы подробно говорили в разделе 1.2.

Поэтому под объектом защиты будем подразумевать не абстрактное понятие, а комплекс физических, аппаратных, программных и документальных средств, предназначенных для сбора, передачи, обработки и хранения информации.

Ключевое свойство информации — ее ценность, то есть для нашего случая стоимость ущерба от разрушения, потери или разглашения. Кроме того, спецификой информации является то, что она не исчезает при потреблении, не передается полностью при обмене (в отличие от денег остается и у старого пользователя). С одной стороны, она является неделимой и имеет смысл только при достаточно полном объеме сведений, с другой — качество ее повышается при добавлении новых достоверных данных, то есть можно проводить постепенное накапливание сведений и небольшими частями.

Поэтому, прежде чем ответить на первый вопрос, все-таки необходимо четко разобраться, какая информация потребует защиты. Это может быть, например, весь объем данных, накапливающийся и формирующийся в фирме, которые имеют коммерческую значимость. Сведения о количестве выпускаемой продукции и об объемах продаж. Сведения о поставщиках и производителях, продавцах и дилерах, договорах и клиентах. Планы фирмы, предельные цены, размеры премий дилерам и посредникам, имена и адреса сотрудников. Себестоимость продукции, маркетинговые и аналитические исследования. Финансовое состояние фирмы, размеры оплаты труда, денежный наличный оборот, особенно каналы движения денежной массы. Это могут быть какие-нибудь деловые (или не очень деловые — типа экс-министра В. Ковалева или «человека, похожего на Генерального прокурора Ю. Скуратова») встречи, детали частной жизни и т. д. В каждом отдельном случае нужно тщательно проанализировать: какая конкретнаяинформация может оказаться совершенно нежелательной для огласки. Затем аккуратно привязать эту информацию к носителям. Допустим, если проводятся короткие устные переговоры, без оформления каких-либо документов, то в качестве объекта защиты выступает только сам разговор. Если привлечены какие-нибудь технические средства связи, записи или составляются какие-либо документы, то количество объектов существенно возрастает.

Следующим шагом должна стать их ранжировка по степени ценности содержащейся информации (ведь такие объекты защиты, как разговор и итоговый документ — это «две большие разницы»). И наконец, производится определение потенциально опасных систем, позволяющих получить доступ к этим объектам. В проведении этого этапа работы неплохо могут помочь материалы, содержащиеся как в табл. 1.1.1, так и в первой части данной книги. Поэтому все описанные средства несанкционированного съема информации и привязаны к конкретному носителю, для работы с которым они предназначены. Проделав это простое исследование, можно практически ответить на первый вопрос. Поверьте, если «исследователь» хоть в общих чертах знаком с основными методами работы злоумышленников и возможностями их аппаратуры, то работа не займет много времени.

Вопрос «от чего защищаться?» связан с понятием «угроза». Угроза — потенциальная возможность неправомерного преднамеренного или случайного воздействия на объект защиты, приводящее к потере или разглашению информации. Обычно выделяют внутренние и внешние источники угроз.

К внутренней угрозе относятся как преднамеренные действия, так и непреднамеренные ошибки персонала (не зря говорят: «Простота хуже воровства»). Сразу предупреждаем, что этот сложнейший вопрос выходит за рамки данной книги, здесь нужны специалисты совсем другого профиля.

Внешние угрозы весьма разнообразны. В условиях рыночной экономики, когда существует реальная конкуренция между организациями, у них возникает интерес к деятельности соперничающих фирм. Целью этого интереса является добывание информации, относящейся к сфере коммерческой тайны, то есть о замыслах, финансовом состоянии, клиентах, ценах и т. д. Получение такой информации и ее использование конкурентами (да и некоторыми партнерами) может причинить существенный ущерб фирме. Как уже говорилось выше, имеется достаточно развитый рынок услуг по добыванию информации такого рода. Например, в Санкт-Петербурге целый ряд частных детективных агентств, негласно, конечно, специализируется именно на этом поприще. Есть они и в других крупных городах. Притом, некоторые из них оснащены на достаточно высоком уровне и берутся за любую работу. В частности, уже отмечалось, что московская охранная фирма «Атолл» выполняла заказы по сбору компромата даже на семью президента.

Иногда грешат и сами бизнесмены, начитавшиеся плохих детективов. Сотрудникам Лаборатории ППШ приходилось сталкиваться и с этими любителями, притом не только с радистами по образованию, а с инженерами-химиками, юристами, студентами всевозможных профилей и даже одним довольно известным музыкантом, возомнившими себя Джеймсами Бондами, но «вычисленными» буквально за считанные часы. Правда, есть и среди любителей исключения. В телевизионной программе «Совершенно секретно» был показан доморощенный Кулибин, сделавший своими руками автоматизированный комплекс для контроля каналов сотовой связи и за весьма скромную плату предоставлявший заинтересованным лицам записи всех как входящих, так и исходящих звонков. Для «заказа клиента» надо было только сообщить его номер. ФСБ, прикрывшая этот бизнес, по достоинству «оценила» самородка.

Помимо конкурентов серьезную угрозу некоторым фирмам или частным лицам могут представлять мафиозные группировки. «Братва» в последнее время все больше внимания уделяет получению информации по техническим каналам. Для этого создаются небольшие организации из доверенных людей, на обучение и экипировку которых не скупятся. Например, прошедший в 1997 году в Санкт-Петербурге процесс над бандой одного из главных рэкетиров города по кличке Пудель, отколовшегося от Тамбовской группировки, показал, что в составе его группы было прекрасно оснащенное подразделение, занимающееся сбором коммерческой информации с помощью технических средств. Прежде чем «наехать» на фирму, рэкетир тщательно изучал ее деятельность и состояние финансов, а затем выставлял «научно обоснованный счет». В феврале 1999 года в прессе появилось сообщение о том, что в Интернете на печально известном сайте «Коготь» предоставляется очень необычная информация, а именно — расшифровки подслушанных телефонных разговоров, перехваченных пейджинговых сообщений и даже оперативные справки на многих известных людей: В. Рушайло, А. Коха, В. Степашина, Ю. Скуратова. Это явный ответ на заявление правительства об усилении борьбы с организованной преступностью.

Многие крупные коммерческие структуры создали собственные мощные службы безопасности, одной из главных задач которых, в условиях нашего специфического рынка, является добывание информации о потенциальных клиентах, партнерах или конкурентах. При этом часто не считается зазорным внедрение к подопечным людей или специальной техники.

Они же очень жестко вынуждены контролировать свой персонал с целью недопущения утечки информации о собственных коммерческих секретах. Техническому оснащению и квалификации сотрудников безопасности отдельных «богатеньких» фирм иногда могут позавидовать даже государственные спецслужбы.

Нельзя забывать, что интеграция России в международные организации, участие в интернациональных проектах, колоссальный советский научный и технологический «задел» в целом ряде направлений делает отечественных предпринимателей объектом пристального внимания частных и даже государственных служб разведки Запада и Востока. Правда, в самой России им пока развернуться особенно не дают, но многочисленные скандалы, связанные с высылкой пойманных за руку иностранных граждан, невольно настораживают.

И наконец, собственные спецслужбы. Многие предприниматели, да и простые граждане, считают, что их переговоры, особенно с помощью телефона, постоянно записываются спецслужбами. Этому убеждению в немалой степени способствует абсолютно некомпетентная информация, часто появляющаяся на страницах нашей периодической печати, вполне определенной направленности. Простые логические рассуждения показывают, что Тотальный контроль хотя бы за телефонными переговорами не в состоянии организовать ни одно государство мира. С другой стороны, спецслужбы всех стран, конечно, ведут выборочное прослушивание отдельных лиц. В разделах 1.1 и 2.1 приведена законодательная основа для проведения такого рода мероприятий.

Согласно «Совместному решению по эксплуатационно-техническим требованиям к средствам и сетям электросвязи для обеспечения оперативно-розыскных мероприятий», в состав этих сетей, независимо от формы собственности, вводятся аппаратные и программные средства контроля, позволяющие подключаться к любым абонентским линиям. Достаточно подробно с этим документом можно ознакомиться в газете «Час Пик» (№ 8, 1993 год). Кроме такой стационарной аппаратуры в арсенале спецслужб и правоохранительных органов большое количество и других технических систем. Если верить некоторым детективам, то эти системы обладают совершенно невероятными возможностями, однако аппаратура используется весьма обычная, может несколько более высокого качества, чем та, что описана в этой книге, а сам необычный результат получается лишь вследствие высочайшего профессионализма тех, кто ее практически применяет.

Для иллюстрации этой простой мысли позволим себе привести небольшую выдержку из книги В. А. Стрелецкого «Мракобесие» (М.; Детектив-Пресс, 1998). Полковник Стрелецкий — бывший начальник отдела «П» (борьба с коррупцией) Службы безопасности президента (СБП) и главный организатор задержания пресловутой коробки и>•под «Ксерокса», выносимой в 1996 году из Белого дома. На странице 248 можно прочитать: «... 6 ноября 1996 года "Московский Комсомолец" опубликовал стенограмму переговоров Чубайса и Илюшина. Разразившийся вслед за публикацией скандал был опровергнут Чубайсом — мол, переговоры не вел, все ложь и клевета. Тогда были представлены пленки записи... Закон об оперативно-розыскной деятельности давал нам право разрабатывать любого гражданина РФ. Его должность роли не играет... Из источников в его (Чубайса. — Прим. авт.) окружении я узнал, что 22 июня он должен приехать к первому помощнику президента В. Илюшину в «Президент-Отель», чтобы обсудить ситуацию. Негласный доброжелатель согласился нам помочь. Мы договорились, что он установит в кабинете Илюшина диктофон, а потом незаметно заберет технику обратно. Результаты превзошли все ожидания». Как видите, пожалуй, самая «крутая» российская спецслужба воспользовалась самым простым техническим устройством, но с максимальным эффектом.

Поэтому той категории читателей, которые задумали нарушить закон, уклониться от уплаты налогов, заняться контрабандой или иным образом попасть в зону внимания правоохранительных органов, советуем хорошенько подумать прежде, чем делать это и еще раз внимательно прочитать материалы первой части данной книги. Поверьте, чтобы «достать» преступника — у спецслужб широчайший арсенал средств. А законопослушным гражданам надо тщательно изучить раздел 2.1, где приведена основная нормативно-правовая база защиты информации, и спокойно работать, не обращая внимания на досужие домыслы некоторых «рыцарей пера». Пока человек в ладу с законом, угроз его коммерческим тайнам и личной жизни со стороны правоохранительных органов опасаться не следует.

После того, как были проанализированы потенциальные угрозы, надо выбрать из них действительно реальные, исходя из сферы деятельности и ценности информации. Если кто-то сделает вывод, что он, как тот Неуловимый Джон из анекдота, никому не нужен, тогда пусть эта книга для него станет просто занимательным чтением для повышения общей эрудиции.

Если ответ на вопрос «от чего защищать?», все же выявит заинтересованных лиц, то надо объективно оценить их возможности и составить примерный перечень средств, особенно технических, которые могут быть применены. Тут очень важно не переоценить противника, иначе это выльется в совершенно лишние затраты, поэтому на этом этапе лучше проконсультироваться у специалистов. Сотрудники Лаборатории ППШ могут привести много примеров, когда бесплатная 15-минутная консультация спасала от многотысячных затрат. Вместе с тем, хотим предупредить тех, кто не в ладу с законом, если собираетесь обеспечить защиту вашей информации от спецслужб, то это дело практически безнадежное, поскольку любителям такая проблема не по зубам, а если захотите обратиться к истинным профессионалам, то хорошенько подумайте: из кого комплектуется штат таких организаций. В лучшем случае, клиент получит вежливый отказ. Теперь осталось ответить только на последний вопрос.

С вопросом «как защищать?» связано понятие «система защиты». Система защиты — это комплекс мер и средств, а также деятельность на их основе, направленная на выявление, отражение и ликвидацию различных видов угроз безопасности объектов защиты. Принято различать следующие основные виды средств защиты: нормативно-правовые; морально-этические; организационные; технические.

Нормативно-правовые — включают в себя законы и другие правовые акты, а также механизмы их реализации, регламентирующие информационные отношения в обществе. Эти вопросы достаточно подробно изложены в разделе 2.1. Несколько обособленно стоит проблема лицензирования, но и она кажется близка к решению. Впервые в истории российского государства регулирование отношений, возникающих в процессе работы с закрытой информацией, на законодательном уровне было определено Законом РФ от 21.09.93 г. «О государственной тайне». Одним из базовых положений этого закона является лицензирование деятельности предприятий, учреждений и организаций по допуску к проведению работ, связанных с созданием средств защиты информации, а также осуществлению мероприятий и (или) оказанию услуг по ее защите (статья 27). Координация деятельности всех подобных организация возложена на Межведомственную комиссию по защите государственной тайны. Положение об этой комиссии утверждено указом Президента России от 20.01.96 г. № 71.

Организация лицензионной деятельности органически сочетается с общей системой лицензирования, определенной Положением правительства РФ от 24.12.94 г. № 1418. Сам порядок лицензирования в области защиты информации определен «Положением о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и/или оказанием услуг по защите государственной тайны». Данным Положением определены органы, уполномоченные на ведение лицензионной деятельности:

>• ФСБ [Лицензируемые виды деятельности: допуск к проведению работ, связанных с использованием сведений, составляющих государственную тайну (на территории РФ), на право осуществления мероприятий и (или) оказанием услуг в области защиты государственной тайны; на право проведения работ, связанных с созданием средств защиты информации; на право разработки, производства, продажи и т. п. специальных технических средств негласного получения информации];

>• Гостехкомиссия России [Лицензируемые виды деятельности: на право осуществления мероприятий и/или оказанием услуг в области защиты государственной тайны (противодействие ИТР, защита информации); на право проведения работ, связанных с созданием средств защиты информации от несанкционированного доступа); на право

Рис. 2.2.1. Лицензия, выдаваемая Гостехкомиссией России на право осуществления мероприятий в области защиты государственной тайны (противодействия ИТР, защиты информации)

***

Федеральное государственное унитарное предприятие Научно-производственное предприятие «ГАММА»

117420, Москва, ул. Профсоюзная, 78 Тел. (095) 128-69-93, факс (095) 330-33-88

Представительство в Санкт-Петербурге:

197110, Санкт-Петербург, ул. Пионерская, 44 Тел/факс (812) 235-55-18; м. т. 26-05

Лицензии ФГУП НПП «Гамма»:

ФАПСИ № ЛФ/13-101 от 30.04.97 г. на проведение специальных проверок и специальных исследований. Гостехкомиссии № 82 от 25.07.98 г.

ФСБ № 657 от 31.03.97 г.

Аттестат аккредитации органа по аттестации № СЗИ RU.082B 29.040

Федеральное государственное унитарное предприятие Научно-производственное предприятие «Гамма» работает в области защиты информации около 30 лет, являясь правопреемником спецподразделения НИИ Автоматической аппаратуры, имеет многолетний опыт проведения работ по комплексной защите информации на объектах АСУ и ЭВТ.

Предприятие производит специальные работы в Администрации Президента РФ, Государственной Думе и Совете Федерации, в ряде министерств и ведомств Российской Федерации, на многих крупнейших предприятиях.

Специалистами предприятия разработаны действующие методики проведения специальных исследований, а также ведутся работы по их совершенствованию.

В настоящее время в ФГУП НПП «Гамма» работает более 50 сотрудников. Все рабочие группы укомплектованы выпускниками таких ведущих вузов страны, как МИФИ, МФТИ, МИРЭА, МЭИС, ВИКА им. А. Ф. Можайского. На счету наших сотрудников десятки авторских свидетельств, сотни печатных работ, несколько защищенных кандидатских диссертаций.

Предприятие аккредитовано в качестве органа по сертификации средств защиты информации по требованиям безопасности информации для проведения аттестации объектов информатизации.

Предприятие осуществляет деятельность практически во всех областях защиты информации и приглашает к сотрудничеству заинтересованные предприятия и организации.

***

проведения работ, связанных с созданием средств защиты информации] (внешний вид такой лицензии показан на рис. 2.2.1);

>• ФАПСИ [Лицензируемые виды деятельности: на право осуществления мероприятий и (или) оказанием услуг в области защиты государственной тайны (противодействие ИТР, защита информации от несанкционированного доступа); на право проведения работ, связанных с созданием средств защиты информации];

>• Служба внешней разведки [Лицензируемые виды деятельности: допуск к проведению работ, связанных с использованием сведений, составляющих государственную тайну (за рубежом); на право осуществления мероприятий и/или оказанием услуг в области защиты государственной тайны (режим секретности, противодействие ИТР, защита информации от несанкционированного доступа); на право проведения работ, связанных с созданием средств защиты информации];

>• Минобороны [Лицензируемые виды деятельности: на право проведения работ, связанных с созданием средств защиты информации].

В свою очередь, уполномоченные органы могут создавать аттестационные центры (региональные или отраслевые) по соответствующим направлениям деятельности. Если предприятие собирается развернуть деятельность на ниве защиты информации, то оно обязано подать заявление в уполномоченную организацию, которая, в свою очередь, дает аттестационному центру соответствующее поручение на проведение специальной экспертизы.

Результаты работы экспертной комиссии оформляются актом. Акт прилагается к заявлению о выдаче лицензии и направляется в уполномоченный орган, где и принимается окончательное решение. Срок действия лицензии устанавливается в зависимости от рода деятельности, но не менее 3-х и не более 5 лет. На каждый вид деятельности выдается отдельная лицензия.

Таким образом, если необходима действительно квалифицированная помощь, то лучше обращаться только в организации, имеющие лицензию. А теперь «информация к размышлению» для «информационных пиратов»:

подготовлены предложения об установлении административной ответственности за проведение работ в области защиты информации без лицензии или с нарушением условий лицензии. Эти предложения представлены в Государственную Думу с просьбой об их включении в Кодекс РФ об административных нарушениях.

Морально-этические — нормы и правила поведения, направленные на обеспечение безопасности информации, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения. В данной книге мы не будем касаться этих вопросов. Самое главное, что надо сделать для поддержания соответствующего настроя: во-первых, создать здоровый дружный коллектив, а во-вторых, дать своим сотрудникам хотя бы минимум знаний о мерах информационной безопасности. Нам приходилось наблюдать ситуации, когда руководство фирмы просит проверить помещение на наличие подслушивающих устройств, а в это время один из вице-президентов в курилке, кстати общей для нескольких организаций, хвастается выгодной сделкой, описывая весьма «интересные» детали.

Организационные — правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Подробно этот материал изложен в подразделе 2.2.2. Скажем только, что установка любых, самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не решены на должном уровне организационные вопросы. И это справедливо для любых каналов утечки. Конечно, введение разного рода ограничений — работа не из самых приятных, но это может дать весьма ощутимый эффект и значительно сэкономить средства. Особенно, если проведенный анализ (что защищать и от кого защищать) показал полное отсутствие угрозы от серьезной организации, способной использовать сложные технические средства или нанять «крутую» фирму.

Технические средства — комплексы специального технического и программного обеспечения, предназначенные для предотвращения утечки обрабатываемой или хранящейся у вас информации путем исключения несанкционированного доступа к ней с помощью технических устройств съема. Эти средства подробно описаны во второй части книги. В этом разделе остановимся только на вопросах сертификации аппаратуры такого рода, которые не менее актуальны, чем лицензирование. С принятием комплекса законодательных и иных нормативных актов правового регулирования в области сертификации средств защиты информации проблема обеспечения качества используемых для этих целей средств встала на прочную правовую основу.

«Положением о сертификации средств защиты информации», утвержденным постановлением Правительства РФ № 608 от 26.07.95 г., определено 5 систем сертификации. В Государственном реестре Госстандарта зарегистрированы соответственно:

>• ФАПСИ с системой сертификации средств криптографической защиты информации;

>• Гостехкомиссия с системой сертификации средств защиты по требованиям безопасности информации;

>• Минобороны с системой сертификации средств защиты, относящимся к его компетенции.

Работы по созданию других систем сертификации на момент написания книги пока не завершены. Системы предусматривают обязательную сертификацию технических, программно-технических и программных средств, предназначенных для обработки, передачи и хранения информации

Рис. 2.2.2. Внешний вид аттестата аккредитации испытательной лаборатории, выданный Гостехкомиссией России

с ограниченным доступом, а также средств защиты и контроля эффективности защиты информации. Системы сертификации призваны обеспечить потребителю средств защиты информации безопасную обработку любой информации ограниченного доступа. На конец 1998 года в системах аккредитовано 6 органов по сертификации (5 — при Гостехкомиссии и 1 — при ФАПСИ) и 46 испытательных лабораторий. Внешний вид аттестата аккредитации приведен на рис. 2.2.4.

Порядок сертификации предусматривает целый ряд действий, ограничивающих возможность распространения некачественной продукции. Итогом сертификационных испытаний является сертификат (рис. 2.2.3), срок которого ограничен интервалом времени до 5 лет.

Недостатком этой четкой системы является слабый инспекционный контроль за выпуском сертифицированной продукции. Но в целом, приобретая продукцию, прошедшую через такое сито, клиент имеет неплохие гарантии ее качества.

Сертификация является достаточно длительным и относительно дорогостоящим процессом. При отсутствии сертифицированных средств защиты (объектов информатики в защищенном исполнении) можно заменить систему сертификации системой аттестации. Под аттестацией объекта понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия», выданным уполномоченным на то органом (рис. 2.2.4), подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции. В соответствии с «Положением по аттестации объектов информатики по требованиям безопасности информации» (Утверждено Председателем Гостехкомиссии 25.11.94 г.) обязательной аттестации подлежат объекты информатики, предназначенные для обработки информации, составляющейгосударственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер.

Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем их интеграции. Главной трудностью в ее создании является то, что одновременно она должна удовлетворять двум группам прямо противоположных требований. С одной стороны, обеспечивать надежную защиту информации. С другой — не создавать заметных неудобств сотрудникам и особенно потребителям. Обычно совместить эти требования удается только достаточно квалифицированному профессионалу. Кроме того, система защиты должна быть адекватна возможным угрозам, с обязательной оценкой как вероятности их появления, так и величины реального ущерба от потери или разглашения информации, циркулирующей в определенном носителе.

Рис. 2.2.4. Внешний вид аттестата аккредитация органа по аттестация информатизации, выданный Гостехкомиссией России

190000, РОССИЯ, САНКТ-ПЕТЕРБУРГ, ПЕР. ГРИВЦОВА, 1/64;

ТЕЛ. +7 (812) 219-1137, 314-2259;

ФАКС: +7 (812) 315-8375 E-MAIL: POSTMASTER