Федеральное государственное унитарное предприятие Научно-производственное предприятие «ГАММА»

117420, Москва, ул. Профсоюзная, 78 Тел. (095) 128-69-93, факс (095) 330-33-88

Представительство в Санкт-Петербурге:

197110, Санкт-Петербург, ул. Пионерская, 44 Тел/факс (812) 235-55-18; м. т. 26-05

Лицензии ФГУП НПП «Гамма»:

ФАПСИ № ЛФ/13-101 от 30.04.97 г. на проведение специальных проверок и специальных исследований. Гостехкомиссии № 82 от 25.07.98 г.

ФСБ № 657 от 31.03.97 г.

Аттестат аккредитации органа по аттестации № СЗИ RU.082B 29.040

Федеральное государственное унитарное предприятие Научно-производственное предприятие «Гамма» работает в области защиты информации около 30 лет, являясь правопреемником спецподразделения НИИ Автоматической аппаратуры, имеет многолетний опыт проведения работ по комплексной защите информации на объектах АСУ и ЭВТ.

Предприятие производит специальные работы в Администрации Президента РФ, Государственной Думе и Совете Федерации, в ряде министерств и ведомств Российской Федерации, на многих крупнейших предприятиях.

Специалистами предприятия разработаны действующие методики проведения специальных исследований, а также ведутся работы по их совершенствованию.

В настоящее время в ФГУП НПП «Гамма» работает более 50 сотрудников. Все рабочие группы укомплектованы выпускниками таких ведущих вузов страны, как МИФИ, МФТИ, МИРЭА, МЭИС, ВИКА им. А. Ф. Можайского. На счету наших сотрудников десятки авторских свидетельств, сотни печатных работ, несколько защищенных кандидатских диссертаций.

Предприятие аккредитовано в качестве органа по сертификации средств защиты информации по требованиям безопасности информации для проведения аттестации объектов информатизации.

Предприятие осуществляет деятельность практически во всех областях защиты информации и приглашает к сотрудничеству заинтересованные предприятия и организации.

***

проведения работ, связанных с созданием средств защиты информации] (внешний вид такой лицензии показан на рис. 2.2.1);

>• ФАПСИ [Лицензируемые виды деятельности: на право осуществления мероприятий и (или) оказанием услуг в области защиты государственной тайны (противодействие ИТР, защита информации от несанкционированного доступа); на право проведения работ, связанных с созданием средств защиты информации];

>• Служба внешней разведки [Лицензируемые виды деятельности: допуск к проведению работ, связанных с использованием сведений, составляющих государственную тайну (за рубежом); на право осуществления мероприятий и/или оказанием услуг в области защиты государственной тайны (режим секретности, противодействие ИТР, защита информации от несанкционированного доступа); на право проведения работ, связанных с созданием средств защиты информации];

>• Минобороны [Лицензируемые виды деятельности: на право проведения работ, связанных с созданием средств защиты информации].

В свою очередь, уполномоченные органы могут создавать аттестационные центры (региональные или отраслевые) по соответствующим направлениям деятельности. Если предприятие собирается развернуть деятельность на ниве защиты информации, то оно обязано подать заявление в уполномоченную организацию, которая, в свою очередь, дает аттестационному центру соответствующее поручение на проведение специальной экспертизы.

Результаты работы экспертной комиссии оформляются актом. Акт прилагается к заявлению о выдаче лицензии и направляется в уполномоченный орган, где и принимается окончательное решение. Срок действия лицензии устанавливается в зависимости от рода деятельности, но не менее 3-х и не более 5 лет. На каждый вид деятельности выдается отдельная лицензия.

Таким образом, если необходима действительно квалифицированная помощь, то лучше обращаться только в организации, имеющие лицензию. А теперь «информация к размышлению» для «информационных пиратов»:

подготовлены предложения об установлении административной ответственности за проведение работ в области защиты информации без лицензии или с нарушением условий лицензии. Эти предложения представлены в Государственную Думу с просьбой об их включении в Кодекс РФ об административных нарушениях.

Морально-этические — нормы и правила поведения, направленныена обеспечение безопасности информации, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения. В данной книге мы не будем касаться этих вопросов. Самое главное, что надо сделать для поддержания соответствующего настроя: во-первых, создать здоровый дружный коллектив, а во-вторых, дать своим сотрудникам хотя бы минимум знаний о мерах информационной безопасности. Нам приходилось наблюдать ситуации, когда руководство фирмы просит проверить помещение на наличие подслушивающих устройств, а в это время один из вице-президентов в курилке, кстати общей для нескольких организаций, хвастается выгодной сделкой, описывая весьма «интересные» детали.

Организационные — правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Подробно этот материал изложен в подразделе 2.2.2. Скажем только, что установка любых, самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не решены на должном уровне организационные вопросы. И это справедливо для любых каналов утечки. Конечно, введение разного рода ограничений — работа не из самых приятных, но это может дать весьма ощутимый эффект и значительно сэкономить средства. Особенно, если проведенный анализ (что защищать и от кого защищать) показал полное отсутствие угрозы от серьезной организации, способной использовать сложные технические средства или нанять «крутую» фирму.

Технические средства — комплексы специального технического и программного обеспечения, предназначенные для предотвращения утечки обрабатываемой или хранящейся у вас информации путем исключения несанкционированного доступа к ней с помощью технических устройств съема. Эти средства подробно описаны во второй части книги. В этом разделе остановимся только на вопросах сертификации аппаратуры такого рода, которые не менее актуальны, чем лицензирование. С принятием комплекса законодательных и иных нормативных актов правового регулирования в области сертификации средств защиты информации проблема обеспечения качества используемых для этих целей средств встала на прочную правовую основу.

«Положением о сертификации средств защиты информации», утвержденным постановлением Правительства РФ № 608 от 26.07.95 г., определено 5 систем сертификации. В Государственном реестре Госстандарта зарегистрированы соответственно:

>• ФАПСИ с системой сертификации средств криптографической защиты информации;

>• Гостехкомиссия с системой сертификации средств защитыпо требованиям безопасности информации;

>• Минобороны с системой сертификации средств защиты, относящимся к его компетенции.

Работы по созданию других систем сертификации на момент написания книги пока не завершены. Системы предусматривают обязательную сертификацию технических, программно-технических и программных средств, предназначенных для обработки, передачи и хранения информации

Рис. 2.2.2. Внешний вид аттестата аккредитации испытательной лаборатории, выданный Гостехкомиссией России

с ограниченным доступом, а также средств защиты и контроля эффективности защиты информации. Системы сертификации призваны обеспечить потребителю средств защиты информации безопасную обработку любой информации ограниченного доступа. На конец 1998 года в системах аккредитовано 6 органов по сертификации (5 — при Гостехкомиссии и 1 — при ФАПСИ) и 46 испытательных лабораторий. Внешний вид аттестата аккредитации приведен на рис. 2.2.4.

Порядок сертификации предусматривает целый ряд действий, ограничивающих возможность распространения некачественной продукции. Итогом сертификационных испытаний является сертификат (рис. 2.2.3), срок которого ограничен интервалом времени до 5 лет.

Недостатком этой четкой системы является слабый инспекционный контроль за выпуском сертифицированной продукции. Но в целом, приобретая продукцию, прошедшую через такое сито, клиент имеет неплохие гарантии ее качества.

Сертификация является достаточно длительным и относительно дорогостоящим процессом. При отсутствии сертифицированных средств защиты (объектов информатики в защищенном исполнении) можно заменить систему сертификации системой аттестации. Под аттестацией объекта понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия», выданным уполномоченным на то органом (рис. 2.2.4), подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции. В соответствии с «Положением по аттестации объектов информатики по требованиям безопасности информации» (Утверждено Председателем Гостехкомиссии 25.11.94 г.) обязательной аттестации подлежат объекты информатики, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер.

Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем их интеграции. Главной трудностью в ее создании является то, что одновременно она должна удовлетворять двум группам прямо противоположных требований. С одной стороны, обеспечивать надежную защиту информации. С другой — не создавать заметных неудобств сотрудникам и особенно потребителям. Обычно совместить эти требования удается только достаточно квалифицированному профессионалу. Кроме того, система защиты должна быть адекватна возможным угрозам, с обязательной оценкой как вероятности их появления, так и величины реального ущерба от потери или разглашения информации, циркулирующей в определенном носителе.

Рис. 2.2.4. Внешний вид аттестата аккредитация органа по аттестация информатизации, выданный Гостехкомиссией России

190000, РОССИЯ, САНКТ-ПЕТЕРБУРГ, ПЕР. ГРИВЦОВА, 1/64;

ТЕЛ. +7 (812) 219-1137, 314-2259;

ФАКС: +7 (812) 315-8375 E-MAIL: POSTMASTER@PPS.SPB.SU URL: http://www.pps.ru

Информация о фирме

Основным видом деятельности Лаборатории ППШ является проведение комплекса организационных и технических мероприятий по защите важной информации от несанкционированного доступа. Под этим понимается полное комплексное обследование помещений с целью выявления всех возможных технических каналов утечки информации, разработка рекомендаций по закрытию выявленных каналов и проведению необходимых организационных и технических мероприятий, подготовка перечня рекомендуемого оборудования и его поставка.

Другими видами деятельности Лаборатории ППШ являются:

=> проведение сертификационных испытаний и исследований в рамках

системы сертификации средств защиты информации по требованиям

безопасности информации;

=> проведение комплекса мероприятий по защите информации в АС;

=> аттестация средств и систем информатизации на соответствие

требованиям по защите информации;

=> проведение специсследований средств ЭВТ в соответствии с требованиями и по методикам Гостехкомиссии РФ;

=> проведение исследований и разработок в области технических средств

защиты информации;

=> производство, поставка и реализация специального оборудования;

=> консультации и обучение по различным вопросам безопасности и

защиты информации.

Все перечисленные виды деятельности Лаборатория ППШ осуществляет на основании следующих документов:

• «Лицензия на деятельность в области защиты информации» № 54 от 26мая 1995 г. по пунктам 2-6 (в полном объеме), выданная Государственной технической комиссией при Президенте Российской Федерации (продлена до 2001 года);

• «Аттестат аккредитации испытательной лаборатории» в системе сертификации средств защиты информации по требованиям безопасности информации

№ СЗИ RU.054.B01.002 от 6 марта 1996 г.

• Лицензия УФСБ России № 241 от 14 июля 1997 г.

• «Аттестат аккредитации органа по аттестации» в системе сертификации средств защиты информации по требованиям безопасности информации Ms СЗИ RU.054.B019.034 от 8 декабря 1998 г.

После выбора системы защиты остается сделать последний шаг: составить соответствующий перечень (набор) средств конкретной их реализации, которые наиболее полно ликвидируют потенциальную угрозу. Напомним, что угроза считается ликвидированной, если затраты на преодоление защиты превысят стоимость защищаемой информации.

Поиск по сайту: