Во все времена одним из главных интересов любой страны являлась тщательная охрана своих секретов от внимания потенциальных противников и конкурентов. Однако в наши дни, с учетом геополитической обстановки, защита этих секретов приобрела еще большее значение.
Понимают это и регуляторы, к которым относятся ФСБ и ФСТЭК России, а также другие надзорные органы, в чьи задачи входит защита гостайны и противодействие иностранной разведке. Все это выводит важность защиты подобной информации на новый уровень. Именно поэтому все больше организаций стремятся понять все тонкости этого процесса.
В этой статье разберем что такое государственная тайна и почему ее нужно защищать, какие сведения относятся к ней и какой перечень работ необходимо выполнить для ее защиты.
Начнем с основ
Государственная тайна — это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной, оперативно-розыскной деятельности, распространение которых может нанести ущерб государству (согласно закону РФ от 21 июля 1993 года №5485-1 «О государственной тайне»).
Засекречивать информацию имеют право органы власти и учреждения, которые получили эти сведения. Полный список этих органов и то, какие сведения можно засекретить, указаны в специальном перечне сведений, которые относятся к гостайне.
Защитой гостайны должны заниматься не только госорганы (которые могут ее обрабатывать), но и все юридические лица, которым доверили такую информацию. При этом, ответственность за организацию защиты несет руководитель организации.
Требования по организации и проведению работ по защите гостайны устанавливаются в Инструкции, утверждаемой Правительством РФ, и которая содержит основные требования по:
- обеспечению пропускного режима;
- охране территории объекта;
- доступу персонала на территорию;
- порядку обращения с секретными документами;
Для выполнения этих требований, в организации выстраивается особый режим секретности.
Организация исполнителя должна иметь лицензию ФСБ России на осуществление работ, связанных с использованием сведений, составляющих гостайну.
Порядок получения лицензии ФСБ регламентируется ПП РФ от 15 апреля 1995 года №333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации (далее – СЗИ), а также с осуществлением мероприятий и(или) оказанием услуг по защите гостайны».
Что такое РСП и для чего оно нужно
Все организации, которые планируют получить лицензию ФСБ России и работать с гостайной, обязаны создать специальный отдел или подразделение для ведения секретного делопроизводства.
РСП – режимно-секретное подразделение, режимно-секретный отдел, первый отдел или “секретка”. Для создания и функционирования РСП необходимы три важных аспекта: помещение, оборудование и персонал.
Режимные помещения — помещения, предназначенные для всех видов работ со сведениями, составляющими гостайну. Эти помещения должны соответствовать определенным требованиям физической и инженерно-технической защищенности, оснащены рабочими местами и специальной техникой. Доступ к подобным помещениям имеет ограниченный круг лиц.
Оборудование для РСП – сюда относятся техника (компьютеры, принтеры), носители и ПО. Они должны быть сертифицированы по требованиям ФСТЭК России и не подключены к сетям общего доступа.
Персонал – действующие сотрудники организации, допущенные к работе со сведениями, составляющую гостайну. К ним относятся: руководитель РСП и его заместители, начальник службы охраны, руководитель предприятия и его заместители, а также сотрудники, служебные обязанности которых требуют работы с секретными документами или имеющие специальные допуски.
Функционирующее РСП исключает возможность утечки информации. Организация РСП возможна двумя способами: собственными силами или заключить договор с сторонней организацией, имеющей собственную лицензию ФСБ РФ и оказывающей услуги по защите гостайны (системные интеграторы ИБ).
Практическая защита гостайны
Разберем несколько примеров использования секретной информации в работе организации.
Использование средств автоматизации, с одной стороны, упрощает и ускоряет процессы создания документов. Можно легко подготовить документ с помощью программ, а затем распечатать его на принтере или получить копию с помощью копировального аппарата. Но с другой стороны, если техника не защищена – увеличивается возможность утечки информации. Другой пример, если требуется провести совещание для обсуждения конфиденциальной информации – подобные встречи лучше проводить в защищенных помещениях. Или допустим, в кабинете руководителя организации установлен телефон для правительственной связи – должен быть ограничен доступ к кабинету, самому телефону и использоваться защищенный канал связи. Спектр возможностей работы с гостайной растет как и спектр потенциальных угроз.
И тут уже мы подходим к вопросу технической защиты информации. Ведь техническая разведка, утечки информации по техническим каналам, несанкционированный доступ к информации в системах информатизации и связи — это главные угрозы для гостайны.
Можно обозначить два основных типа объектов информатизации, которые должны быть защищены, это:
– «Объект вычислительной техники» – автоматизированное рабочее место или выделенная локальная сеть, на которых обрабатывается информация, составляющая гостайну.
– «Выделенное помещение» – помещение, специально предназначенные для проведения мероприятий (совещаний, конференций) с обсуждением информации, составляющей гостайну. Сюда же относятся кабинеты, оснащенные оборудованием специальной связи.
Для определения таких объектов в организации проводятся:
- категорирование помещений, в которых проводятся обсуждения или ведутся переговоры по закрытым вопросам (актом устанавливается одна из категорий, позволяющая определить требования по защите помещения).
- категорирование объектов вычислительной техники для обработки, передачи и хранения секретной информации (актом устанавливается одна из категорий, позволяющая определить требования по защите технических средств и систем).
- классификация защищенности автоматизированных систем (позволяет определить требования по защите от несанкционированного доступа).
Все об аттестации
Все объекты информатизации, предназначенные для обработки сведений, составляющие гостайну, подлежат обязательной аттестации.
Аттестация объектов информатизации — проверка защищаемого объекта, главная цель которой оценить соответствует ли применяемый комплекс мер и средства защиты на объекте требуемому уровню безопасности. По итогам организации выдается «Аттестат соответствия», который актуален пять лет. Только «Аттестат соответствия» дает право обработки информации, составляющей гостайну, на конкретном объекте. Помимо этого, организация обязана проводить оценку эффективности принимаемых мер защиты.
Пример обложки Аттестата соответствия
Согласно Приказу ФСТЭК России от 28 сентября 2020 г. № 110, организации, выполняющие работы по аттестации объектов информатизации, должны обладать соответствующей лицензии выданной ФСТЭК России.
Как проверить, что у организации есть такая лицензия? Самый простой путь – на сайте ФСТЭК России (Главная / Техническая защита информации / Сертификация / Перечень органов по аттестации) всегда размещен актуальный реестр организаций, имеющих право проводить работы по аттестации объектов информатизации.
Сайт ФСТЭК, раздел Техническая защита информации
Вот примера файла с перечнем лицензиатов ФСТЭК России. Мы видим – АО “Калуга-Астрал”, юридический адрес, номер и дату действия лицензия ФСТЭК России – до 06.08.2025. И понимаем, что у этой организации есть все для оказания таких услуг – штат обученных специалистов, измерительная аппаратура, специальная нормативная литература, лицензия ФСБ России на осуществление работ с использованием сведений, составляющих гостайну и т.д.
Файл с перечнем лицензиатов ФСТЭК
Разберем основные этапы подготовки объектов информатизации к аттестации по требованиям безопасности информации:
- Внедрение средств защиты
Объект информатизации должен быть оснащен сертифицированными ФСТЭК России средствами защиты информации. Информацию о наличии и актуальности сертификата можно проверить также на сайте ФСТЭК, где размещен актуальный Госреестр сертифицированных СЗИ.
Российскими вендорами производится широкая линейка сертифицированных СЗИ, позволяющая закрыть все технические каналы утечек.
Пример оснащения помещения средством защиты информации от утечки по акустическому и виброакустическому каналам
К средствам вычислительной техники на рынке относятся защищенные ПЭВМ (персональные электронно-вычислительная машины). Это модификация серийных ПЭВМ с улучшенными характеристиками защиты от утечек за счет побочных электромагнитных излучений и наводок (ПЭМИН) и несанкционированного доступа (НСД).
Пример ПЭВМ в защищенном исполнении
Также в рамках импортозамещения сейчас активно внедряются российские операционные системы специального назначения, сертифицированные ФСТЭК России, со встроенными СЗИ.
- Проверка объектов
Далее необходимо организовать проведение таких работ как специальные проверки (СП) и специальные исследования (СИ) технических средств и систем объекта.
Специальная проверка — это проверка оборудования и технических средств на отсутствие каких-либо скрытых устройств негласного прослушивания, записи, перехвата и передачи информации.
Специальные исследования — обнаружение потенциальных технических каналов утечки защищаемой информации с помощью специального оборудования, в соответствии с нормативно-методическими документами.
- Подготовка ОРД
Завершая этап создания системы защиты информации, необходимо подготовить пакет ОРД (организационно-распорядительной документации): акты, технический паспорт, инструкции и тд..
Только выполнив все вышеперечисленные мероприятия, можно приступать к аттестационным испытаниям.
Аттестационные испытания
Первый этап – предварительное обследование объекта информатизации. Основные цели: выявление возможных каналов утечки информации, разработка программ и методик аттестационных испытаний.
Второй этап – проведение испытаний в реальных условиях эксплуатации с применением специальной аппаратуры. По итогам испытаний оформляются протоколы оценки эффективности принятых мер по защите информации.
И завершающий этап – проводится анализ результатов экспертного обследования и испытаний, на основе которых выносится заключение. В случае положительного заключения – выдается Аттестат соответствия. Организации остается приказом ввести объект в эксплуатацию и она может обрабатывать информацию, составляющую гостайну.
Заключение
Как мы могли видеть, защита гостайны действительно требует учета множества факторов – от требований закона и проведения аттестационных работ до выбора правильных средств защиты. И хотя выполнение такого масштаба работ и условий может показаться непосильной задачей, нужно помнить, что лучшее решение – доверить защиту гостайны на вашем предприятии профессиональному системному интегратору. Опытные и лицензированные специалисты по ИБ возьмут каждый аспект работ на себя, обеспечат индивидуальный подход с учетом специфики вашего объекта и помогут убедиться, что защита гостайны соответствует самым актуальным законам и практикам.
Автор: Владимир Ольховский, Главный менеджер проектов по информационной безопасности компании “Астрал. Безопасность”
Оригинал публикации на сайте CISOCLUB: "Защита государственной тайны в РФ: практическое руководство".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.