Информационной безопасностью называют максимальную защищенность от несанкционированного доступа, т.е. сохранение аутентичности, целостности и конфиденциальности (ограничение доступа) информационной среды. Под информационной средой подразумевается не только информация как таковая, но поддерживающая ее инфраструктура. Для решения задач по защите информационной среды применяются специальные средства –  комплекс электронных, инженерно-технических, оптических, электрических и т.д. технических средств.

Средства защиты информации бывают:

  1. Программными. К этой группе относят средства контроля доступа
  • ключи, мандаты, биометрию и т.п.) и авторизации,
  • межсетевые экраны,
  • шифры, цифровые подписи,
  • антивирусные программы и т.д.

Основные недостатки – слишком высокая зависимость от аппаратных (устройства) средств защиты, использование ресурсов рабочих станций и серверов, чувствительность к случайным изменениям. Преимущества – гибкость, простота установки и использования, универсальность, относительно низкая стоимость защиты.

  1. Техническими. Аппаратные средства могут быть электрическими, механическими, электромеханическими и т.д. Они препятствуют либо проникновению как таковому, либо доступу к информации. Это замки и решетки, защитная сигнализация, сетевые фильтры и сканеры. К недостаткам этих средств защиты можно отнести их немалую стоимость, массу и объем, недостаточную гибкость. К преимуществам – надежность, независимость.
  2. Смешанными (аппаратно-программными).
  3. Организационными (недорогие, но слишком зависимые от субъективных факторов)

Безусловно, большинство этих средств и по отдельности, а тем более в комплексе, способны гарантировать высокую степень защиты информационной среды. А как гарантировать их собственную надежность?

Сертификация и лицензирование средств защиты информации

Оценка надежности средств защиты информационной среды находится в юрисдикции Минобороны, ФСБ, ФСТЭК,  федеральных органов по сертификации и – внешней разведки, работу которых координирует специальная Межведомственная комиссия. Требования к средствам защиты информации изложены в нескольких нормативных актах:

  • ФЗ «О техническом регулировании» №184 (ред. 2010г.).
  • Постановлении Правительства № 608 от 26.06.1995 г. (ред. 2010г.). Изложенные в этом документе требования относятся ко всем без исключения российским учреждениям, в т.ч. находящимся за рубежом.
  • Законе №5485-I «О гос. тайне» (ред. 2011г.) и специальным Положением о деятельности предприятий, осуществляющих защиту гостайны (ПП №333, 15.04.1995г.).

На осуществление защитной деятельности, а также разработку, производство, распространение и/или внедрение средств защиты информации нужна лицензия ФСТЭК, а их сертификации (не путать с сертификацией информационных систем*) предшествует оформление не менее обязательных и важных, чем сертификат, документов:

  требования к которой установлены постановлением правительства № 608 от 26.06.1995

  • нотификации (уведомления) ФСБ о ввозе в страну технических (аппаратных) средств, имеющие криптографическую функцию;
  • заключение эсконта (экспортного контроля) на технические средства с возможностью применения в качестве вооружения.

Сертификат (как правило, ГОСТ Р) может быть выдан только на основании протокола испытаний типовых образцов и будет актуален от года до пяти, что зависит от схемы (на серийное производство или единичный выпуск, на производителя или на контракт). Во время указанного в нём срока действия сертификат может быть отозван (аннулирован) только в трёх случаях:

  • если производитель создает препятствия инспекционному контролю в рамках сертификации или каким-либо другим действиям надзорных органов;
  • при существенном (для параметров безопасности и качества средств защиты, отраженным этим сертификатом) конструкции или комплектности, технологии производства, а также системы контроля качества;
  • при изменениях правовой базы – в части требований к этим средствам защиты.