- •2. Планирование процессов организационной зи.
- •3. Правила отнесения ведений, составляющих гос. Тайну к различным степеням секретности. Присвоение грифа и изменение грифа секретности работам, документам, изделиям.
- •9. Обеспечение режима секретности работ, проводимых на персональных электронно-вычислительных машинах, в учреждениях, организациях и на предприятиях. Требования к помещениям и размещению эвм.
- •14 Внутриобъектовый режим
- •16 Организация пропускного режима на предприятиях.
- •18. Внутриобъектовый режим
- •19. Особенности режима секретности работ, проводимых на персональных эвм, в учреждениях, организациях и предприятиях. Уничтожение секретных распечаток и машинных носителей
- •20 Документирование хода и результатов служебного расследования.
- •24.Понятие служебное расследование по фактам разглашения информации. Цели и задачи служебного расследования.
- •27. Порядок выдачи справок о форме допуска, учет, уничтожение.
- •29. Особенности инструктажа и документальное оформление контракта об оформлении допуска к гт.
- •39. Что отражается в «Специальной памятке» по защите коммерческой тайны предприятия
- •40. Отнесение сведений, составляющих государственную тайну, к различным степеням секретности
- •41. Правовые положения при защите изобретательских и патентных прав
- •42. Постановление Правительства Российской Федерации от 15 апреля 1995 г. №333, его основное содержание
- •43. Основные руководящие документы фстэк в области защиты информации
- •44. Уголовный кодекс Российской Федерации. Преступления в сфере компьютерной информации
- •45. Правовые основы существования коммерческой тайны
29. Особенности инструктажа и документальное оформление контракта об оформлении допуска к гт.
Взаимные обязательства администрации организации и оформляемого лица отражаются в трудовом договоре (контракте). Заключение трудового договора (контракта) до окончания проверочных мероприятий не допускается.
Объем проверочных мероприятий зависит от степени секретности сведений, к которым будет допускаться оформляемое лицо.
30. Понятие «разрешительная система доступа», основные требования, предъявляемые к ней. Цели и задачи разрешительной системы. Разрешительная система доступа лежит в основе организационно-правового регулирования вопросов допуска и непосредственного доступа персонала к конфиденциальной информации и ее носителям независимо от степени ее важности и конфиденциальности.
Разрешительная система доступа персонала предприятия предусматривает установление на предприятии единого порядка обращения с носителями сведений, составляющих коммерческую тайну, определение ограничений на доступ к ним различных категорий персонала (управленческого, административного и исполнительского уровней) и степени ответственности за сохранность указанных носителей сведений.
Создание и реализация разрешительной системы доступа персонала к информации, составляющей коммерческую тайну, — важная часть общей системы организационных мер по защите информации на предприятии. Создание и функционирование разрешительной системы доступа персонала предприятия к информации направлены, в первую очередь, на решение стоящих перед предприятием задач и достижение основных целей его деятельности.
Основная цель разрешительной системы доступа персонала к коммерческой тайне — исключение нанесения ущерба предприятию посредством несанкционированного распространения сведений, составляющих коммерческую тайну.
Правовая регламентация данной системы должна быть простой, но достаточно эффективной, гибкой и способной адекватно реагировать на изменения, происходящие в хозяйственной, производственной и других сферах деятельности предприятия.
Права сотрудников на доступ к коммерческой тайне и работу с ее носителями регулируются разрешениями полномочных должностных лиц, оформленными в письменном (документальном) виде.
Основным внутренним организационно-распорядительным документом предприятия, регулирующим вопросы доступа всех категорий работников и иных лиц к коммерческой тайне, является положение о разрешительной системе доступа к информации, составляющей коммерческую тайну.
Разработку данного положения осуществляет, как правило, специально создаваемая комиссия предприятия, которая состоит из представителей его структурных подразделений, осуществляющих производственную, хозяйственную и иные виды деятельности.
31. Понятие «доступ к защищаемой информации». Условия правомерного доступа. Задачи режима защиты информации, решаемые в процессе регулирования доступа.
Под допуском к защищаемой информации понимается выполнение обладателем информации или другими уполномоченными должностными лицами определенных процедур, связанных с оформлением права лица на доступ к конкретному виду защищаемой информации.
Порядок допуска лиц к иным видам информации с ограниченным доступом с учетом положений Федерального закона «Об информации, информационных технологиях и защите информации» находится в компетенции соответствующих должностных лиц (руководителей предприятий), являющихся обладателями такой информации.
Доступ лица к конфиденциальной информации — санкционированное полномочным должностным лицом ознакомление персонала предприятия и иных лиц с конфиденциальной информацией и ее носителями.
Меры по охране конфиденциальности информации признаются разумно достаточными, если исключается доступ к защищаемой информации любых лиц без согласия ее обладателя. Иные не противоречащие законодательству России меры по ограничению доступа могут быть дополнительно приняты ее обладателем.
Основные условия правомерного доступа персонала к коммерческой информации включают:
-
подписание работником обязательства о неразглашении сведений, составляющих коммерческую тайну, а также трудового договора, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обязательства;
-
наличие у работника оформленного в установленном порядке допуска к сведениям, составляющим коммерческую тайну;
-
наличие утвержденных руководителем предприятия должностных (функциональных) обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации;
-
оформление разрешения руководителя предприятия на ознакомление работника с конкретной информацией, являющейся коммерческой тайной, и ее носителями.
Режим защиты информации - установленная законом процедура доступа к соответствующим сведениям и ответственность за разглашение этих сведений. Режим защиты информации устанавливается в отношении трех групп сведений: а) сведения, относящиеся к государственной тайне: режим устанавливается уполномоченным государственным органом на основании Закона "О государственной тайне"; б) конфиденциальная информация, режим защиты которой устанавливается собственником информационных ресурсов или уполномоченным им лицом на основании Закона "Об информации"; в) персональные данные; режим защиты таких данных должен устанавливаться специальным федеральным законом, который не принят.
Основная цель разрешительной системы доступа персонала к коммерческой тайне — исключение нанесения ущерба предприятию посредством несанкционированного распространения сведений, составляющих коммерческую тайну.
32. Учет и хранение допусков. Порядок уничтожения допусков, справок о допуске и контракта об оформлении допуска к государственной тайне.
На каждое лицо, получившее третью форму допуска, подразделение по защите государственной тайны на основании письменного ходатайства руководителя структурного подразделения организации заводит карточку (форма 8) с указанием номера списка (форма 6) и даты утверждения руководителем организации этого списка. Заполненные карточки заверяются подписью руководителя подразделения по защите государственной тайны и печатью этого подразделения, регистрируются в журнале учета карточек на допуск работников (форма 10) отдельно от карточек на допуск граждан по первой и второй формам и вместе со списками на лиц, подлежащих допуску к секретным сведениям (форма 6), и договорами (контрактами) об оформлении допуска к государственной тайне хранятся в подразделении по защите государственной тайны в течение всего периода работы в данной организации граждан, допущенных к секретным сведениям. Карточки (форма 8) в другие организации не пересылаются и уничтожаются по истечении одного года после увольнения граждан, на которых они были заведены. При небольшом количестве граждан, оформляемых на допуск по третьей форме, карточки (форма 8) могут не заводиться. Списки (форма 6) также хранятся в организации в течение одного года, после чего они могут быть уничтожены в установленном порядке.
В отношении граждан, которые свыше года после оформления им допуска по первой, второй или третьей форме не соприкасались со сведениями, составляющими государственную тайну, а также граждан, которые уволились из организации, ушли на пенсию или закончили обучение в учебном заведении и на которых в течение года не затребованы карточки (форма 3), действие допусков прекращается. При этом договоры (контракты) об оформлении допуска к государственной тайне и карточки (форма 3) хранятся в подразделении по защите государственной тайны не менее пяти лет, после чего они уничтожаются по акту.
Следует иметь в виду, что при оформлении на работу уволенного с военной службы в запас гражданина при наличии в его военном билете специальной записи о допуске к государственной тайне в период прохождения им службы отдел кадров организации обязан направить запрос в военкомат по месту жительства этого гражданина для получения карточки (форма 3). При этом руководитель организации имеет право в течение одного года со дня увольнения гражданина с военной службы в запас допускать его к государственной тайне без проведения дополнительных проверочных мероприятий органами безопасности. При этом в графе 8 карточки (форма 3), полученной из военкомата, делается соответствующая запись. О факте допуска гражданина к государственной тайне информируется орган безопасности, в его адрес подразделение по защите государственной тайны организации направляет учетную карточку (форма 5).
33. Положение 912-51. Его содержание.
Постановление Совета Министров — Правительства РФ от 15.09.1993 № 912-51
«Об утверждении Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам»
Настоящее Положение является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, в органах (аппаратах, администрациях) представительной, исполнительной и судебной властей Российской Федерации.
Положение определяет структуру государственной системы защиты информации в Российской Федерации, ее задачи и функции, основы организации защиты сведений,
отнесенных в установленном порядке к государственной или служебной тайне, от иностранных технических разведок и от ее утечки по техническим каналам.
Защита информации осуществляется путем выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, предупреждению преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе обработки, передачи и хранения по противодействию иностранным техническим разведкам, а также
путем проведения специальных работ, порядок организации и выполнения которых определяется Советом министров Правительством Российской Федерации.
Основными организационно-техническими мероприятиями по защите информации являются:
- лицензирование деятельности предприятий в области защиты информации;
- аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;
- сертификация средств защиты информации и контроля за ее эффективностью;
- обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;
- оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку;
- применение специальных методов, технических мер и средств защиты, исключающих перехват информации передаваемой по каналам связи.
Положение имеет след разделы:
- Государственная система защиты информации
- Организация защиты информации в системах и средствах информатизации и связи
- Контроль состояния защиты информации
- Финансирование мероприятий по защите информации
34. Технология создания перечня по коммерческой тайне предприятия
Перечень сведений, составляющих коммерческую тайну, законодательно не определён и должен составляться каждой организацией, вводящей режим коммерческой тайны, самостоятельно, исходя из специфики бизнеса и особенностей самой организации. Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Перечень по коммерческой тайне предприятия создается по следующей схеме:
-
Создание циркуляра по спискам и изделиям коммерческой тайны;
-
Список обрабатывается в единый перечень конфиденциальных сведений на предприятии;
-
Перечень из п.2 выносится на совет директоров (на данном этапе он может изменяться);
-
Совет директоров выдает свою рекомендацию директору (скорее управленцу) утверждать его или нет;
-
Для каждого подразделения предприятия, из общего перечня, составляют выписки конкретных сведений;
-
Работники предприятия под расписку знакомятся с утвержденным перечнем.
После прохождения вышеуказанных этапов перечень конфиденциальных сведений принимает юридическую силу. В разработке Перечня должны участвовать руководители всех структурных подразделений организации (предприятия), в том числе юристы. Перечень должен подписываться соответствующим должностным лицом службы безопасности, утверждаться руководителем и доводиться до всех работников организации (предприятия), допущенных к конфиденциальной информации, в части, касающейся их.
35 Автоматизированные системы
Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.
Основными этапами классификации АС являются: - разработка и анализ исходных данных; - выявление основных признаков АС, необходимых для классификации; - сравнение выявленных признаков АС с классифицируемыми; - присвоение АС соответствующего класса защиты информации от НСД.
Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем: - управления доступом; - регистрации и учета; - криптографической; - обеспечения целостности.
36 Какую роль занимает устав предприятия при защите коммерческой тайны предприятия
Поэтому одной из первоочередных задач, которые встают перед предприятием при организации защиты своей коммерческой тайны, является разработка соответствующих нормативных документов, регламентирующих деятельность всех звеньев предприятия в этом направлении. Исходной правовой базой для организации защиты коммерческой тайны является УСТАВ предприятия. Именно в нем прежде всего необходимо зарегистрировать право на коммерческую тайну, потому что предприятие может осуществлять лишь те виды деятельности, которые отвечают целям, предусмотренным в нем. Сделать это следует путем внесения дополнения к Уставу в виде специального раздела.
37. Руководящий документ. Средства вычислительной техники. Межсетевые экраны Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации
Настоящий руководящий документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований.
Данные показатели содержат требования к средствам защиты, обеспечивающим безопасное взаимодействие сетей ЭВМ, АС посредством управления межсетевыми потоками информации, и реализованных в виде МЭ.
1.2. Показатели защищенности применяются к МЭ для определения уровня защищенности, который они обеспечивают при межсетевом взаимодействии.
Конкретные перечни показателей определяют классы защищенности МЭ.
Деление МЭ на соответствующие классы по уровням контроля межсетевых информационных потоков с точки зрения защиты информации необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей ЭВМ, АС.
Устанавливается пять классов защищенности МЭ.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.
При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться.
Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.
Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов: - при обработке информации с грифом “секретно” - не ниже 3 класса; - при обработке информации с грифом “совершенно секретно” - не ниже 2 класса; - при обработке информации с грифом “особой важности” - не ниже 1 класса.
38. Какую роль занимает Трудовой договор в деле защиты коммерческой тайны предприятия
С каждым работником заключаются индивидуальные трудовые договора. В трудовом договоре указывается то, что работа связана с использованием коммерческой тайны. Подписывая данный трудовой договор, работник принимает обязательства по ее сохранению, а именно: 1. Не разглашать сведения составляющие коммерческую тайну (вверенную или ставшую известной в ходе выполнения своих обязанностей); 2. Не передавать сведения, составляющие коммерческую тайну третьим лицам, без согласия организации; 3. Выполнять обязанности по сохранению коммерческой тайны; 4.При попытке получить коммерческую тайну от работника, работник должен немедленно сообщать об этом начальству; 5. Хранить коммерческую тайну организаций-партнеров; 6. Не использовать знание коммерческой тайны для занятия деятельностью, приносящей ущерб предприятию-владельцу тайны; 7. При утере секретных документов или образцов, а также прочих способах утечки секретной информации, немедленно сообщать начальству. Трудовой договор составляется в 2х экземплярах: 1 остается у работника, 2й – хранится в отделе кадров.