Расширенный поиск

Обзор законодательства Республики Молдова в сфере информационной безопасности. Часть 7: Техническая защита информации

Закон о лицензировании отдельных видов деятельности содержит перечень видов деятельности, для занятия которыми необходимо получить лицензию. В их числе – импорт, экспорт, разработка, производство и реализация криптографических и технических средств защиты информации, специальных технических устройств, предназначенных для негласного получения информации, предоставление услуг в области криптографической и технической защиты информации (кроме деятельности, осуществляемой органами публичной власти, наделенными таким правом согласно закону).

Оглавление (показать/скрыть)
Часть 1: Концепция информационной безопасности Молдовы
Часть 2: Персональные данные, личная и семейная тайна
Часть 3: Государственная тайна
Часть 4: Коммерческая тайна
Часть 5: Иные виды тайн
Часть 6: Криптографическая защита информации
Часть 7: Техническая защита информации
Часть 8: Прослушка и другие специальные розыскные мероприятия
Часть 9: Борьба с киберпреступностью

Деятельность по предоставлению услуг в сфере технической защиты информации, не отнесенной к государственной тайне, регулирует Положение о лицензировании деятельности по предоставлению услуг в сфере технической защиты информации, вступившее в силу в октябре 2017 года. Этот вид деятельности включает следующее:

  • проведение технического инспектирования помещений и оборудования (средств обработки информации) с целью обнаружения специальных технических средств, предназначенных для негласного получения информации;
  • установка, монтаж, наладка средств технической защиты информации и защищенных технических средств обработки информации.

Регулирующий документ содержит основные понятия в данной области. Техническая защита информации представляет собой деятельность, направленную на своевременное выявление и ликвидацию угрожающей информации опасности, осуществляемую при помощи технических методов и средств. Специальные требования к технической защите информации – документ, разработанный на основе национальных и международных норм в сфере технической защиты информации с учетом всех характеристик подлежащего защите объекта, которым устанавливаются необходимые меры по технической защите информации, обрабатываемой в информационных системах и сетях электронных коммуникаций или обращающейся в защищенных помещениях.

Защищенные технические средства обработки информации – технические средства обработки информации, в отношении которых необходимые меры защиты обработанной информации принимаются на этапе их разработки и изготовления. Под средствами технической защиты информации понимаются технические средства, предназначенные для предупреждения или уменьшения возможности утечки информации по техническим каналам.

Специальные технические средства, предназначенные для негласного получения информации, – это технические и/или программные средства, разработанные, приспособленные или запрограммированные для улавливания, получения, перехвата, сбора, прослушивания, регистрации и передачи информационных сигналов звукового, визуального, электромагнитного или иного характера, в том числе в сетях электронных коммуникаций, с целью получения негласного доступа к чужой информации. Классификатор технических средств, предназначенных для негласного получения информации, утверждает Правительство.

Специализированные технические средства выявления специальных технических средств, предназначенных для негласного получения информации, представляют собой специализированные технические и метрологические средства выявления специальных технических средств, предназначенных для негласного получения информации, в помещениях и оборудовании. Техническое инспектирование – специальная проверка помещений и оборудования, осуществляемая с использованием специализированных технических средств выявления специальных технических средств, предназначенных для негласного получения информации.

Предоставление услуг в сфере технической защиты информации осуществляется на основании письменного договора, подписанного обеими сторонами.

Деятельность в области технической защиты информации на территории Молдовы

В целях лицензирования и осуществления деятельности по предоставлению услуг в сфере технической защиты информации соискатель лицензии и лицензиат должны соблюдать следующие условия:

  • наличие статуса юридического или физического лица, зарегистрированного в качестве предпринимателя;
  • осуществление лицензируемой деятельности в соответствии с действующим законодательством и стандартами в этой сфере;
  • осуществление лицензируемой деятельности в соответствии с правилами, установленными лицензирующим органом и отраслевым органом публичной власти;
  • наличие у лиц, непосредственно занятых лицензируемой деятельностью, высшего образования в сфере технической защиты информации, либо иного высшего образования и вместе с тем образования по программам повышения квалификации в сфере технической защиты информации, либо высшего образования и по меньшей мере трехлетнего трудового стажа в сфере технической защиты информации.
  • наличие на праве собственности или во владении помещений для надлежащего осуществления лицензируемой деятельности, отвечающих нормам гигиены, техники безопасности и охраны окружающей среды, установленным действующим законодательством;
  • в случае предоставления соответствующих услуг – наличие специализированных технических средств выявления специальных технических средств, предназначенных для негласного получения информации;
  • разработка и утверждение в течение месяца после выдачи лицензии внутреннего регламента, определяющего организационные условия лицензируемой деятельности;
  • прямое установление внутренним актом подразделения и лиц, непосредственно занятых лицензируемой деятельностью;
  • утверждение организационной структуры и штатного расписания. Лицензиат устанавливает внутренним актом для каждого специалиста конкретные условия в отношении уровня образования, технических знаний и опыта работы, а также должностные обязанности, права, ответственность и требования к режиму конфиденциальности;
  • обеспечение периодического повышения квалификации лиц, непосредственно занятых лицензируемой деятельностью;
  • разработка и утверждение в течение месяца после выдачи лицензии нормативно-технической документации по непосредственно осуществляемой лицензируемой деятельности;
  • обеспечение режима конфиденциальности в лицензируемой деятельности, которым предусматривается неразглашение информации о заказчике услуг и содержании предоставляемых услуг без его согласия. Эта информация должна предоставляться только правоохранительным и контрольным органам в соответствии с действующим законодательством;
  • немедленное информирование Службы информации и безопасности о случаях обнаружения специальных технических средств, предназначенных для негласного получения информации;
  • в случае предоставления соответствующих услуг – учет специализированных технических средств выявления специальных технических средств, предназначенных для негласного получения информации, а также их технического обслуживания в соответствии с требованиями к эксплуатации;
  • после оказания услуг – предоставление в распоряжение заказчика акта о проведении технического инспектирования помещений и оборудования с целью выявления специальных технических средств, предназначенных для негласного получения информации, акта об установке (монтаже, наладке) средств технической защиты информации и защищенных технических средств обработки информации, составленных в соответствии с требованиями Положения о лицензировании деятельности по предоставлению услуг в области импорта, экспорта, разработки, производства и реализации специальных технических средств, предназначенных для негласного получения информации, а также Положения о лицензировании деятельности по предоставлению услуг в сфере криптографической защиты информации, со специальными требованиями к технической защите информации, обрабатываемой в информационных системах и сетях электронных коммуникаций или обращающейся в помещениях, которые должны быть защищены, – в зависимости от предоставленных услуг;
  • представление по запросу Службы информации и безопасности статистических данных о предоставленных услугах;
  • обеспечение необходимых условий для проведения компетентными органами контроля за выполнением лицензируемого вида деятельности.

Лица, непосредственно осуществляющие деятельность по предоставлению услуг в сфере технической защиты информации, должны знать:

  • положения действующих нормативных актов по технической защите информации;
  • основные понятия, касающиеся возникновения технических каналов утечки информации, обрабатываемой в информационных системах и сетях электронных коммуникаций или обращающейся в помещениях: временные, частотные и спектральные характеристики аналоговых и цифровых сигналов, обрабатываемых в информационных системах и сетях электронных коммуникаций или используемых в помещениях, причины возникновения излучения в средствах обработки информации и электроакустических и виброакустических изменений звуковых сигналов;
  • возможные каналы утечки информации, хранящейся, обрабатываемой, передаваемой посредством информационных систем и сетей электронных коммуникаций или обращающейся в помещениях;
  • методы устранения возможных каналов утечки информации, обрабатываемой в информационных системах и сетях электронных коммуникаций или обращающейся в помещениях;
  • принципы работы средств технической защиты информации;
  • технические возможности средств технической защиты информации и специализированных технических средств выявления специальных технических средств, предназначенных для негласного получения информации, которыми они оснащаются;
  • способы использования специализированных технических средств выявления специальных технических средств, предназначенных для негласного получения информации, которыми они оснащаются.

Лица, непосредственно осуществляющие деятельность по предоставлению услуг в сфере технической защиты информации, должны быть способны:

  • планировать и организовывать техническое инспектирование помещений и оборудования с целью выявления специальных технических средств, предназначенных для негласного получения информации, и анализировать полученные результаты;
  • использовать специализированные технические средства выявления специальных технических средств, предназначенных для негласного получения информации;
  • выявлять, анализировать и оценивать угрозы безопасности информации, обрабатываемой в информационных системах и сетях электронных коммуникаций или обращающейся в помещениях, и разрабатывать соответствующие меры противодействия уязвимости;
  • составлять необходимые документы о предоставляемых услугах:

– акт о проведении технического инспектирования помещений и оборудования с целью выявления специальных технических средств, предназначенных для негласного получения информации;

– специальные требования к технической защите информации, обрабатываемой в информационных системах и сетях электронных коммуникаций или обращающейся в помещениях, которые подлежат защите;

– акт об установке (монтаже, наладке) средств технической защиты информации и защищенных технических средств обработки информации.

Для предоставления ряда услуг в сфере технической защиты информации соискатель лицензии должен иметь на законных основаниях специализированные технические средства выявления технических спецсредств, предназначенных для негласного получения информации, необходимые для проведения технического инспектирования. Минимальный набор необходимого оборудования включает:

  • детектор нелинейного соединения для выявления скрытых электронных устройств;
  • оборудование для обнаружения радиосигналов в частотном диапазоне 50–2500 МГц;
  • оборудование для анализа физических цепей (электрических сетей и сетей пониженного напряжения) с целью обнаружения сигналов в токе носителей в частотном диапазоне 0,05–1 МГц.

Читать далее: Часть 8: Прослушка и другие специальные розыскные мероприятия

Об авторе

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend
Перейти к верхней панели