Специальное исследование технических средств

Наличие каналов утечки информации, возникающих при работе различных технических средств и требования законодательства РФ по защите информации обязывают проводить поиск и оценку возможности утечки информации по этим каналам. Данные работы называются специальными исследованиями технических средств.

Специальные исследования – выявление с использованием контрольно-измерительной аппаратуры возможных технических каналов утечки защищаемой информации от основных и вспомогательных технических средств и систем и оценка соответствия защиты информации требованиям нормативных документов.

Специальные исследования бывают лабораторные и объектовые. Лабораторные специальные исследования проводятся в специальных экранированных камерах в условиях минимального количества помех. Объектовые специальные исследования проводятся в реальных условиях эксплуатации объекта информатизации. По результатам объектовых специальных исследований принимается решение о необходимости применения средств и мер защиты информации.

РУНЦ «Безопасность» МГТУ им. Н.Э. Баумана проводит специальные исследования основных и вспомогательных технических средств и систем на подверженность утечки информации по следующим каналам:

· электрические сигналы, возникающие при преобразовании информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям;

· побочные электромагнитные излучения информативных сигналов от технических средств и линий передачи информации;

· наводки информативного сигнала, обрабатываемого техническими средствами, на провода и линии;

· наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и заземления;

· электрические сигналы или радиоизлучения, обусловленные воздействием на технические средства высокочастотных сигналов, создаваемых с помощью разведывательной аппаратуры, по проводам и модуляцией их информативным сигналом;

· радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств.

«7» декабря 2011 г. Федеральным законом № 420-ФЗ глава 19 Уголовного кодекса РФ – «преступления против конституционных прав и свобод человека и гражданина» была дополнена новой статьей 138.1, которая предусматривает уголовную ответственность за незаконные производство, приобретение и (или) сбыт специальных технических средств, предназначенных для негласного получения информации.

Предметом данного преступления являются специальные технические средства, предназначенные для негласного получения информации, перечень таких средств утвержден Постановлением Правительства РФ от 1 июля 1996 г. № 770.

Что же относится к специальным техническим средствам для негласного получения информации?

Согласно Постановлению Правительства РФ от 16 апреля 2012 г. № 314 «Об утверждении положения о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)», к электронному устройству, предназначенному для негласного получения информации относится:

— специально изготовленное изделие, содержащее электронные компоненты, скрытно внедряемое (закладываемое или вносимое) в места возможного съема защищаемой акустической речевой, визуальной или обрабатываемой информации (в том числе в ограждения помещений, их конструкции, оборудование, предметы интерьера, а также в салоны транспортных средств, в технические средства и системы обработки информации)

Также согласно перечню видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности, утвержденного Постановлением Правительства РФ от 1 июля 1996 г. № 770, к данным средствам относятся:

1. Специальные технические средства для негласного получения и регистрации акустической информации.
2. Специальные технические средства для негласного визуального наблюдения и документирования.
3. Специальные технические средства для негласного прослушивания телефонных переговоров.
4. Специальные технические средства для негласного перехвата и регистрации информации с технических каналов связи.
5. Специальные технические средства для негласного контроля почтовых сообщений и отправлений.
6. Специальные технические средства для негласного исследования предметов и документов.
7. Специальные технические средства для негласного проникновения и обследования помещений, транспортных средств и других объектов.
8. Специальные технические средства для негласного контроля за перемещением транспортных средств и других объектов.
9. Специальные технические средства для негласного получения (изменения, уничтожения) информации с технических средств ее хранения, обработки и передачи.
10. Специальные технические средства для негласной идентификации личности.

Объективная сторона представлена следующими действиями лица, не имеющего лицензии на производство и оборот специальных технических средств, предназначенных для негласного получения информации:

— производство специальных технических средств, предназначенных для негласного получения информации;

— сбыт специальных технических средств, предназначенных для негласного получения информации;

— приобретение специальных технических средств, предназначенных для негласного получения информации.

Субъектом преступления является лицо, достигшее возраста 16 лет. Субъективная сторона характеризуется прямым умыслом.
Итак, перечислены все признаки состава данного преступления кроме объекта.

Что же является объектом настоящего преступления?

Глава 19 Уголовного Кодекса РФ содержит преступления против конституционных прав и свобод человека и гражданина. Но глава 2 Конституции РФ не содержит прав, которые бы являлись объектом преступления ст. 138.1 Уголовного Кодекса РФ.

Возможно ст. 138.1 УК РФ направлена на защиту от незаконного собирания или распространения сведений о частной жизни лица, составляющей его личную или семейную тайну или на защиту от нарушений тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

Но данные общественные отношения, обеспечивающие гарантированное ч. 1 ст. 23 Конституции РФ, право каждого гражданина на неприкосновенность частной жизни, личную и семейную тайну, чему корреспондирует установленный ч. 1 ст. 24 Конституции РФ, запрет собирать и хранить, использовать и распространять информацию о частной жизни лица без его согласия права граждан являются объектами преступлений, предусмотренных ст.ст. 137, 138 Уголовного Кодекса РФ.

Кроме того, в законе не определен момент окончания преступления. В какой момент данное преступление считается оконченным?

Считаем решение законодателя об утрате силы ч. 3 ст. 138 Уголовного Кодекса РФ в редакции Федерального закона от 22.12.2008 г. № 272-ФЗ, которая предусматривала уголовную ответственность за незаконные производство, сбыт или приобретение специальных технических средств, предназначенных для негласного получения информации и выделении в самостоятельный состав преступления ст. 138.1 Уголовного Кодекса РФ нецелесообразным. Так как охраняемый ст. 138.1 Уголовного Кодекса РФ объект не закреплен в Конституции РФ.

Специальная проверка технических средств (Спецпроверка)

Специальная проверка включает в себя комплекс мер по защите конфиденциальной информации, а именно проведение работ по обнаружению электронных закладок и других устройств перехвата информации, предназначенных для скрытого считывания информации с технических средств, хранящих или обрабатывающих конфиденциальную информацию, содержащую сведения, отнесенные к государственной или служебной тайне. Также спецпроверке подвергаются вспомогательные устройства и приборы, установленные в помещениях, выделенных для обработки информации, составляющую государственную тайну. В процессе спецроверки проводится детальное обследование каждой составляющей устройства в соответствии со «Специальными требованиями и рекомендациями по защите информации, составляющей государственную тайну, от утечки по техническим каналам»

Специальная проверка является одним из основных методов защиты информации. В положении "О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам" Утвержденном постановлением Совета Министров Правительства Российской Федерации от 15 сентября 1993 г. № 912-51, специальная проверка именуется как "выявление возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств)".

В интересах обеспечения защиты информации в системах и средствах информатизации и связи защите подлежат:

· информационные ресурсы, содержащие сведения, отнесенные к государственной или служебной тайне, представленные в виде носителей на магнитной и оптической основе, информативных физических полей, информационных массивов и баз данных;

· средства и системы информатизации ( средства вычислительной техники, информационно-вычислительные комплексы, сети и системы),программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации, содержащей сведения, отнесенные к государственной или служебной тайне;

· технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения, отнесенные к государственной или служебной тайне, а также сами помещения, предназначенные для ведения.

Комплекс технических средств обработки информации – это совокупность автономных устройств сбора, накопления, передачи, обработки и представления информации, а также средств оргтехники, управления, ремонтно- профилактических и других. К комплексу технических средств предъявляют ряд требований: . Обеспечение решения задач с минимальными затратами, необходимой точности и достоверности . Возможность технической совместимости устройств, их агрегативность . Обеспечение высокой надежности . Минимальные затраты на приобретения Отечественной и зарубежной промышленностью выпускается широкая номенклатура технических средств обработки информации, различающихся элементной базой, конструктивным исполнением, использованием различных носителей информации, эксплуатационными характеристиками и др.

Технические средства обработки информации делятся на две большие группы. Это основные и вспомогательные средства обработки. Вспомогательные средства – это оборудование, обеспечивающее работоспособность основных средств, а также оборудование, облегчающее и делающее управленческий труд комфортнее. К вспомогательным средствам обработки информации относятся средства оргтехники и ремонтно- профилактические средства. Оргтехника представлена весьма широкой номенклатурой средств, от канцелярских товаров, до средств доставления, размножения, хранения, поиска и уничтожения основных данных, средств административно производственной связи и так далее, что делает работу управленца удобной и комфортной. Основные средства – это орудия труда по автоматизированной обработке информации. Известно, что для управления теми или иными процессами необходима определенная управленческая информация, характеризующая состояния и параметры технологических процессов, количественные, стоимостные и трудовые показатели производства, снабжения, сбыта, финансовой деятельности и т.п. К основным средствам технической обработки относятся: средства регистрации и сбора информации, средства приема и передачи данных, средства подготовки данных, средства ввода, средства обработки информации и средства отображения информации. Ниже, все эти средства рассмотрены подробно. . Получение первичной информации и регистрация является одним из трудоемких процессов. Поэтому широко применяются устройства для механизированного и автоматизированного измерения, сбора и регистрации данных. Номенклатура этих средств весьма обширна. К ним относят: электронные весы, разнообразные счетчики, табло, расходомеры, кассовые аппараты, машинки для счета банкнот, банкоматы и многое другое. Сюда же относят различные регистраторы производства, предназначенные для оформления и фиксации сведений о хозяйственных операциях на машинных носителях. . Средства приема и передачи информации. Под передачей информации понимается процесс пересылки данных (сообщений) от одного устройства к другому. Взаимодействующая совокупность объектов, образуемые устройства передачи и обработки данных, называется сетью. Объединяют устройства, предназначенные для передачи и приема информации. Они обеспечивают обмен информацией между местом её возникновения и местом её обработки. Структура средств и методов передачи данных определяется расположением источников информации и средств обработки данных, объемами и временем на передачу данных, типами линий связи и другими факторами. Средства передачи данных представлены абонентскими пунктами (АП), аппаратурой передачи, модемами, мультиплексорами. . Средства подготовки данных представлены устройствами подготовки информации на машинных носителях, устройства для передачи информации с документов на носители, включающие устройства ЭВМ. Эти устройства могут осуществлять сортировку и корректирование. . Средства ввода служат для восприятия данных с машинных носителей и ввода информации в компьютерные системы . Средства обработки информации играют важнейшую роль в комплексе технических средств обработки информации. К средствам обработки можно отнести компьютеры, которые в свою очередь разделим на четыре класса: микро, малые (мини); большие и суперЭВМ. Микро ЭВМ бывают двух видов: универсальные и специализированные. И универсальные и специализированные могут быть как многопользовательскими - мощные ЭВМ, оборудованные несколькими терминалами и функционирующие в режиме разделения времени (серверы), так и однопользовательскими (рабочие станции), которые специализируются на выполнении одного вида работ. Малые ЭВМ – работают в режиме разделения времени и в многозадачном режиме. Их положительной стороной является надежность и простота в эксплуатации. Большие ЭВМ – (мейнфермы) характеризуются большим объемом памяти, высокой отказоустойчивостью и производительностью. Также характеризуется высокой надежностью и защитой данных; возможностью подключения большого числа пользователей. Супер-ЭВМ – это мощные многопроцессорные ЭВМ с быстродействием 40 млрд. операций в секунду. Сервер - компьютер, выделенный для обработки запросов от всех станций сети и представляющий этим станциям доступ к системным ресурсам и распределяющий эти ресурсы. Универсальный сервер называется - сервер- приложение. Мощные серверы можно отнести к малым и большим ЭВМ. Сейчас лидером являются серверы Маршалл, а также существуют серверы Cray (64 процессора). . Средства отображения информации используют для вывода результатов вычисления, справочных данных и программ на машинные носители, печать, экран и так далее. К устройствам вывода можно отнести мониторы, принтеры и плоттеры. Монитор – это устройство, предназначенное для отображения информации, вводимой пользователем с клавиатуры или выводимой компьютером. Принтер – это устройство вывода на бумажный носитель текстовой и графической информации. Плоттер – это устройство вывода чертежей и схем больших форматов на бумагу.

Технические средства обработки информации делятся на две большие группы. Это основные и вспомогательные средства обработки. Вспомогательные средства – это оборудование, обеспечивающее работоспособность основных средств, а также оборудование, облегчающее и делающее управленческий труд комфортнее. К вспомогательным средствам обработки информации относятся средства оргтехники и ремонтно- профилактические средства. Оргтехника представлена весьма широкой номенклатурой средств, от канцелярских товаров, до средств доставления, размножения, хранения, поиска и уничтожения основных данных, средств административно производственной связи и так далее, что делает работу управленца удобной и комфортной. Основные средства – это орудия труда по автоматизированной обработке информации. Известно, что для управления теми или иными процессами необходима определенная управленческая информация, характеризующая состояния и параметры технологических процессов, количественные, стоимостные и трудовые показатели производства, снабжения, сбыта, финансовой деятельности и т.п. К основным средствам технической обработки относятся: средства регистрации и сбора информации, средства приема и передачи данных, средства подготовки данных, средства ввода, средства обработки информации и средства отображения информации. Ниже, все эти средства рассмотрены подробно.

Раздел 2.

Организационная часть.

Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации

Типовое положение
об органе по аттестации объектов информатизации по требованиям безопасности информации

Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации
от 5 января 1996 г. № 3

1. Общие положения
2. Задачи и функции органа по аттестации
3. Деятельность аттестационных комиссий
4. Права, обязанности и ответственность органа по аттестации

1. Общие положения

1.1. Настоящее Типовое положение устанавливает общие требования к органу по аттестации объектов информатики по требованиям безопасности информации (далее - орган по аттестации), его функции, права, обязанности и ответственность.

1.2. Типовое положение разработано в соответствии с законом Российской Федерации "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", "Системой сертификации ГОСТ Р", на основании "Положения об обязательной сертификации продукции по требованиям безопасности информации", "Положения по аттестации объектов информатики по требованиям безопасности информации" , а также "Положения о государственном лицензировании деятельности в области защиты информации" и предназначено для использования при разработке Положений о конкретных органах по аттестации.

1.3. Орган по аттестации является составной частью организационной структуры единой системы обязательной сертификации продукции и аттестации объектов информатики по требованиям безопасности информации.

1.4. Орган по аттестации может формироваться из состава специальных центров Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссия России), отраслевых и региональных учреждений, предприятий и организаций по защите информации.

1.5. Орган по аттестации аккредитуется государственным органом по сертификации продукции и аттестации объектов информатики по требованиям безопасности информации (далее - государственный орган по сертификации и аттестации), которым является Гостехкомиссия России в пределах ее компетенции, определенной законодательными актами Российской Федерации. Государственные органы по сертификации и аттестации могут передавать права на аккредитацию отраслевых (ведомственных) органов по аттестации другим органам государственной власти. Правила аккредитации определяются действующим в системе сертификации и аттестации "Положением об аккредитации органов по аттестации объектов информатики, испытательных центров и органов по сертификации продукции по требованиям безопасности информации".

1.6. Орган по аттестации в своей деятельности руководствуется законодательством Российской Федерации, государственными стандартами России, нормативной и методической документацией государственных органов по сертификации и аттестации по требованиям безопасности информации в пределах их компетенции.

1.7. Положение о конкретном органе по аттестации разрабатывается на основании настоящего Типового положения с учетом юридического статуса и заявленной области аккредитации. В Положении указываются виды объектов информатики, по которым орган по аттестации претендует на аккредитацию государственным органом по сертификации и аттестации. Положение подписывается руководителем органа по аттестации, согласовывается с руководителем органа, осуществляющего аккредитацию, и утверждается руководством государственного органа по сертификации и аттестации.

1.8. Расходы по проведению всех видов работ и услуг по аттестованию объектов информатики по требованиям безопасности информации, как при обязательном, так и добровольном аттестовании, оплачивают заявители за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатики.

1.9. Деятельность органа по аттестации, аккредитованного соответствующим государственным органом по сертификации и аттестации осуществляется на основе лицензии на определенные виды деятельности (см. "Положение о лицензирова-нии...") и Аттестата аккредитации (см. "Положение об аккредитации..."), выданных ему на право проведения аттестации объектов информатики.

2. Задачи и функции органа по аттестации

2.1. Основными задачами органа по аттестации являются организация и проведение аттестации объектов информатики по требованиям безопасности информации, а также контроль за состоянием и эксплуатацией аттестованных этим органом объектов информатики.

2.2. Орган по аттестации осуществляет следующие функции:
- формирует и поддерживает в актуальном состоянии фонд нормативной и методической документации, используемой при аттестации конкретных типов объектов информатики;
- рассматривает заявки на аттестацию объектов информатики, планирует работы по аттестации объектов информатики и доводит сроки проведения аттестации до заявителей;
- проводит анализ исходных данных по аттестуемым объектам и определяет схему аттестации, решает вопросы о необходимости проведения испытаний несертифицированной продукции, используемой на аттестуемом объекте, в испытательных центрах (лабораториях);
- организует работы по аттестации объектов информатики как на основе заключенных договоров, так и иных взаимоотношений, определяемых на предприятии и закрепляемых в Положении о конкретном органе;
- разрабатывает программу, а при необходимости и методики аттестационных испытаний;
- формирует и командирует (при проведении работ по аттестации по заказам сторонних заявителей) аттестационные комиссии из компетентных специалистов в необходимых для конкретного объекта информатики направлениях защиты информации, привлекает к работе в этих комиссиях специалистов испытательных центров (лабораторий) по сертификации продукции в случае испытаний продукции непосредственно на аттестуемом объекте информатики;
- рассматривает результаты аттестационных испытаний объекта информатики, утверждает заключение по результатам аттестации и выдает заявителю "Аттестат соответствия";
- при осуществлении контроля за состоянием и эксплуатацией аттестованных объектов информатики проверяет соответствие реальных условий эксплуатации объекта и технологии обработки защищаемой информации условиям и технологии, при которых выдан "Аттестат соответствия";
- отменяет и приостанавливает действие выданных этим органом "Аттестатов соответствия";
ведет информационную базу аттестованных этим органом объектов информатики;
- осуществляет взаимодействие с государственными органами по сертификации и аттестации и информирует их о своей деятельности в области аттестации.

3. Деятельность аттестационных комиссий

3.1. Аттестационные комиссии формируются органом по аттестации объектов информатики из числа как штатных сотрудников органа по аттестации, так и специалистов в различных направлениях защиты информации других предприятий и организаций таким образом, чтобы обеспечить комплексную проверку конкретного защищаемого объекта информатики с целью оценки его соответствия требуемому уровню безопасности информации.

3.2. При необходимости, в случае проведения испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатики, в состав аттестационной комиссии включаются специалисты испытательных центров (лабораторий) по сертификации конкретных видов продукции.

3.3. В состав аттестационных комиссий включаются компетентные в соответствующем направлении защиты информации специалисты, имеющие опыт научно-практической деятельности и контрольно-проверочной работы, не участвующие непосредственно в деятельности заявителей.

3.4. Постоянный штат сотрудников (персонал) органа по аттестации осуществляет свою деятельность в соответствии с должностными инструкциями и должен обладать необходимой квалификацией и компетентностью.

4. Права, обязанности и ответственность органа по аттестации

4.1. Орган по аттестации имеет право:
- привлекать в порядке, определяемом в Положении о конкретном органе, для работы в аттестационных комиссиях наиболее компетентных специалистов;
- устанавливать сроки, договорные цены на проведение аттестации, а также устанавливать иные условия взаимодействия или взаиморасчетов, определяемые в Положении о конкретном органе;
- отказывать заявителю в аттестации объекта информатики, указав при этом мотивы отказа и конкретные рекомендации по проведению аттестации;
- участвовать в контроле за состоянием и эксплуатацией аттестованного этим органом объекта информатики;
- лишать и приостанавливать действие "Аттестата соответствия" в случае нарушения его владельцем условий функционирования объекта информатики, технологии обработки защищаемой информации и требований по безопасности информации.

4.2. Орган по аттестации обязан:
- соблюдать в полном объеме все правила и порядок сертификации, установленные основополагающими документами системы сертификации и аттестации по требованиям безопасности информации, организационно-методическими документами данной Системы и другими документами, предъявляемыми при аккредитации;
- выдавать или признавать сертификаты соответствия на ту продукцию, для которой доказано ее соответствие конкретным нормативным документам по правилам данной Системы;
- при введении в нормативные документы на продукцию новой нормы на ранее сертифицированное требование информировать изготовителя продукции в течение месяца о сроках и порядке ее введения, а также оказывать ему содействие в своевременном проведении работы по сертификации продукции в соответствии с новыми нормами;
- информировать Гостехкомиссию России о всех изменениях, которые могут привести к необходимости рассмотреть вопрос о проведении аккредитации и приостановлении действия лицензии;
- вести учет всех предъявляемых рекламаций к сертифицированной продукции и информировать об этом Гостехкомиссию России;
- в установленные договором с заявителем сроки организовывать и проводить аттестацию объекта информатики;
- обеспечивать полноту и объективность проведения аттестации объекта информатики;
- обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершении аттестации объекта информатики, соблюдение авторского права;
- вести информационную базу аттестованных этим органом объектов информатики;
- представлять в государственные органы по сертификации и аттестации информацию о результатах аттестации, а также "Аттестаты соответствия" для их регистрации;
- допускать в установленном порядке представителей контрольных органов для осуществления надзора за аттестацией объектов информатики.

4.3. Орган по аттестации несет ответственность за:
- соответствие проведенных им аттестационных испытаний объекта информатики требованиям стандартов и иных нормативных и методических документов по безопасности информации, а также достоверность и объективность их результатов;
- полноту и качество выполнения функций и обязанностей, возложенных на него;
- формирование и квалификацию аттестационных комиссий;
- соблюдение требований нормативных и методических документов, предъявляемых к порядку проведения аттестования;
- соблюдение установленных сроков и условий проведения аттестации, зафиксированных в договоре с заявителем;
- обеспечение сохранности государственной тайны и коммерческой тайны заявителя;
- соблюдение действующего законодательства.

ПОЛОЖЕНИЕ

«О ГОСУДАРСТВЕННОЙ СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ