- •Организационное обеспечение информационной безопасности
- •Введение
- •Раздел 1. Основы организации обеспечения информационной безопасности и зи
- •1.1. Основные положения концепции обеспечения информационной безопасности рф
- •1.2. Распределение полномочий по обеспечению информационной безопасности в рф
- •1.3. Научно-технические проблемы, требующие скоординированных действий различных органов государственной власти
- •1.4. Технологическая схема организации зи
- •1.4.1. Организационно-правовое обеспечение информационной безопасности
- •1.4.2. Инженерно-технические методы и средства защиты информации
- •1.4.3. Программные и программно-аппаратные методы и средства обеспечения информационной безопасности
- •1.5. Сбор информации о защищаемых объектах
- •1.6. Оценка состояния безопасности информации
- •1.7. Определение целей и задач зи. Принятие решений по зи
- •1.8. Планирование и организация выполнения мероприятий по зи
- •Раздел 2. Система документов в области обеспечения информационной безопасности и защиты информации
- •2.1. Обоснование необходимой и достаточной системы документов в области зи. Общегосударственные документы
- •2.2. Организационно-распорядительные документы
- •2.3. Специальные нормативные документы фстэк России по вопросам защиты информации от технических разведок, несанкционированного доступа и несанкционированных воздействий на информацию
- •2.3.1. Комплексная защита
- •2.3.2. Физическая защита объектов
- •2.3.3. Противодействие техническим разведкам
- •2.3.4. Защита информации от ее утечки по техническим каналам
- •2.3.5. Защита информации от несанкционированного доступа
- •2.3.6. Нормативные документы государственной системы стандартизации
- •Раздел 3. Определение целей и задач обеспечения информационной безопасности и защиты информации
- •3.2. Обоснование целей и задач зи. Показатели эффективности достижения целей и решения задач зи
- •3.3. Обоснование перечней охраняемых сведений об объектах защиты. Обоснование перечней защищаемых информационных ресурсов. Обоснование требований по защите объектов
- •Раздел 4. Лицензирование деятельности в области зи
- •4.1. Правовые основы лицензирование деятельности в области зи
- •4.2. Структура системы лицензирования, функции ее органов
- •4.2.1.Организационная структура системы государственного лицензирования деятельности предприятий в области защиты информации
- •4.2.2. Государственные органы по лицензированию в пределах своей компетенции осуществляют следующие функции
- •4.2.3. Лицензионные центры осуществляют следующие функции
- •4.2.4. Лицензиаты обязаны
- •4.3. Порядок проведения лицензирования. Распределений полномочий по лицензированию деятельности в области зи между федеральными органами государственной власти
- •4.3.1. Порядок проведения лицензирования предприятий-заявителей в области защиты информации включает следующие действия
- •4.3.1.1. Экспертиза предприятия-заявителя
- •4.3.1.2. Заявление на получение лицензии
- •4.3.1.3. Оформление лицензии и ее выдача
- •4.3.1.4. Рассмотрение спорных вопросов
- •4.3.1.5. Досрочное приостановление или прекращение действия лицензии
- •4.3.1.6. Учёт лицензиатов
- •4.3.2. Контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации
- •Раздел 5. Сертификация средств зи
- •5.1. Правовые основы сертификации зи
- •5.2. Структура системы сертификации, функции ее органов. Распределений полномочий по сертификации средств зи между федеральными органами государственной власти
- •5.3. Порядок сертификации зи
- •Раздел 6. Аттестация объектов информатизации по требованиям безопасности информации
- •6.1. Правовые основы аттестации объектов информатизации по требованиям безопасности информации
- •6.2. Структура системы аттестации, функции ее органов. Распределений полномочий по аттестации между федеральными органами государственной власти
- •6.3. Порядок аттестации объектов информатизации органов управления, промышленных объектов, систем информатизации и связи
- •Раздел 7. Подготовка (переподготовка) и повышение квалификации специалистов в области зи
- •7.1. Правовые основы подготовки специалистов в области зи
- •7.2. Система учебных заведений. Перечень специальностей. Основные нормативные документы по подготовке специалистов в области зи
- •7.2.1. Специальность 090102 "Компьютерная безопасность"
- •7.2.2. Специальность 090105 “Комплексное обеспечение информационной безопасности”
- •7.2.3. Специальность 090106 “Информационная безопасность телекоммуникационных систем”
- •Раздел 8. Организация контроля состояния зи
- •8.1. Правовые основы контроля состояния зи
- •8.2. Основные организационно-распорядительные и нормативные документы по контролю состояния зи
- •8.3. Цели и задачи контроля
- •8.4. Формы контроля: межведомственный контроль; ведомственный контроль; контроль, осуществляемый собственником информации
- •239 8.5. Органы контроля
- •8.6. Контроль организации и эффективности зи
- •8.7. Нарушения установленных требований и норм зи
- •Раздел 9. Организация зи на объектах органов государственной власти и управления
- •9.1. Требования к содержанию Руководств по зи на объекте
- •9.2. Цели и задачи зи. Определение защищаемых информационных ресурсов
- •9.3. Оценка возможностей технических разведок и других источников угроз безопасности информации
- •9.4. Разработка организационных и технических мероприятий по зи
- •9.5. Аттестация объектов информатизации по требованиям безопасности информации.
- •Раздел 10. Организация зи в системах и средствах информатизации и связи
- •10.1. Объекты защиты. Цели и задачи зи
- •10.2. Оценка возможностей технических разведок и других источников угроз безопасности информации
- •10.3. Разработка организационных и технических мероприятий по зи
- •10.4. Контроль состояния зи в системах и средствах информатизации и связи
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14.
9.4. Разработка организационных и технических мероприятий по зи
В зависимости от объема работ по защите информации руководителем предприятия создается структурное подразделение по защите информации либо назначаются штатные специалисты по этим вопросам (например Администратор информационной безопасности).
Подразделения по защите информации (штатные специалисты) на предприятиях:
осуществляют мероприятия по защите информации в ходе выполнения работ с использованием сведений, отнесенных к государственной или служебной тайне;
определяют совместно с заказчиком работ основные направления комплексной защиты информации;
участвуют в согласовании технических (тактико-технических) заданий на проведение таких работ;
дают заключение о возможности проведения работ с информацией, содержащей сведения, отнесенные к государственной или служебной тайне.
Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю. Работники этих подразделений (штатные специалисты) приравниваются по оплате труда к соответствующим категориям работников основных структурных подразделений.
Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия, имеющие лицензии на право проведения работ в области защиты информации.
9.5. Аттестация объектов информатизации по требованиям безопасности информации.
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.
Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации определенного уровня секретности (конфиденциальности), на период времени, установленный в "Аттестате соответствия".
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации меp и средств защиты информации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия за счет специальных устройств, встроенных в объекты информатизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
Аттестация проводится органом по аттестации в установленном настоящим Положением порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
анализ исходных данных по аттестуемому объекту информатизации;
предварительное ознакомление с аттестуемым объектом информатизации;
проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.