- •А.А. Королев с.Ю. Соколова основы защиты информации, составляющей государственную тайну
- •Введение
- •1.1. Содержание и задачи дисциплины
- •1.2. Особенности дисциплины и ее связь с другими дисциплинами
- •1.3. Методические рекомендации по изучению дисциплины и требования, предъявляемые при проверке знаний
- •2. Концептуальные основы защиты государственной тайны
- •2.1. Понятие тайны. Соотношение различных видов тайн
- •2.2. Конституция Российской Федерации о защите государственной тайны
- •2.3. Концепция защиты государственной тайны в Российской Федерации
- •Угрозы, от которых осуществляется защита государственной тайны. К основным угрозам относятся:
- •Источники угроз
- •В сжатом виде основное содержание Концепции защиты государственной тайны представлено на рис. 2.3.
- •3. Правовые основы защиты государственной тайны
- •3.1. Система документов по защите государственной тайны
- •3.2. Закон Российской Федерации
- •Раздел II - перечень сведений, составляющих государственную тайну - целиком посвящен перечню сведений, которые потенциально могут быть отнесены к государственной тайне.
- •Раздел VII - финансирование мероприятий по защите государственной тайны - определяет порядок такого финансирования.
- •Раздел VIII - контроль и надзор за обеспечением защиты государственной тайны - вводит соответствующую систему контроля и надзора.
- •Раздел I. Общие положения
- •Раздел II. Перечень сведений, составляющих государственную тайну
- •Раздел III. Отнесение сведений к государственной тайне и их засекречивание
- •Раздел IV. Рассекречивание сведений и их носителей
- •Раздел V. Распоряжение сведениями, составляющими государственную тайну
- •Раздел VI. Защита государственной тайны
- •Раздел VII. Финансирование мероприятий по защите государственной тайны
- •Раздел VIII. Контроль и надзор за обеспечением защиты
- •4. Система органов защиты государственной тайны и их полномочия
- •4.1. Основные направления деятельности по обеспечению информационной безопасности в Российской Федерации
- •4.2. Межведомственная комиссия по информационной безопасности Совета безопасности Российской Федерации
- •4.3. Межведомственная комиссия по защите государственной тайны
- •4.4. Федеральная служба безопасности Российской Федерации
- •4.5. Министерство обороны Российской Федерации
- •4.6. Служба внешней разведки Российской Федерации
- •4.7. Федеральная служба по техническому и экспортному контролю
- •4.8. Органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны
- •5. Отнесение сведениний к государственной тайне, их засекречивание и рассекречивание
- •5.1. Сущность перечневого подхода к организации защиты государственной тайны
- •5.2. Критерии отнесения сведений к государственной тайне
- •5.3. Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности
- •5.4. Организация работы по засекречиванию и рассекречиванию сведений и их носителей
- •6.Определение размеров ущерба вследствие распространения сведений и ущерба, наносимого в результате их засекречивания
- •6.1. Определение размеровуерба с использованием моделей “осведомленность – эффективность”
- •6.2. Определение размеров ущерба с использованием экспертных оценок6
- •6.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •6.4. Определение, затрат на защиту сведений, составляющих государственную тайну
- •7. Допуск должностных лиц и граждан к государственной тайне
- •7.1.Порядок допуска должностных лиц и граждан к государственной тайне
- •7.2. Особенности допуск лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов, к государственной тайне
- •7.3. Особый порядок допуска к государственной тайне
- •7.4. Ограничения прав должностного лица или гражданина, допущенных или ранее допускавшихся к государственной тайне
- •8. Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну
- •8.1. Законодательство Российской Федерации о лицензировании отдельных видов деятельности
- •8.2. Лицензирование деятельности в области защиты государственной тайны
- •8.3. Полномочие органов государственной власти по лицензированию деятельности в области защиты государственной тайны
- •8.4. Особенности лицензирования деятельности в области защиты информации, составляющей государственную тайну
- •9. Сертификации средств защиты информации, составляющей государственную тайну
- •9.1. Законодательство Российской Федерации о сертификации продукции и услуг
- •9.2. Структура системы сертификации средств защиты информации, составляющей государственную тайну
- •9.3. Порядок сертификации средств защиты информации, составляющей государственную тайну
- •10. Организация защиты информации, составляющей государственную тайну
- •10.1. Организация защиты информации, составляющей государственной тайны, на предприятиях, в организациях и учреждениях
- •10.2. Особенности защиты информации в условиях реализации международных договоров по сокращению вооружений и вооруженных сил
- •10.3. Особенности защиты информации в условиях создания совместных предприятий
- •10.4. Особенности защиты информации в условиях научно-технического, военно-технического и экономического сотрудничества с другими странами
- •11. Контроль и надзор за обеспечением защиты государственной тайны
- •11.1. Понятие контроля и надзора за обеспечением защиты государственной тайны
- •11.2. Виды, методы и формы контроля. Контроль в зависимости от решаемых задач, времени его проведения, уровня контролирующих органов подразделяется на ряд видов
- •11.3. Структура системы контроля состояния защиты государственной тайны
- •11.4. Организация межведомственного контроля состояния защиты государственной тайны
- •12. Организация и проведение работ по комплексной защите информации, составляющей государственную тайну
- •12.1. Понятие комплексной защиты информации от технических разведок и от ее утечки по техническим каналам
- •12.2. Физическая защита объектов
- •12.3. Противодействие техническим разведкам
- •12.4. Защита информации от ее утечки по техническим каналам
- •12.5. Защита информации от несанкционированного доступа
- •1. Понятие тайны в законодательстве Российской Федерации. Соотношение различных видов тайн.
- •Признаки тайны (информации ограниченного доступа):
- •2. Конституция Российской Федерации о защите информации и государственной тайны.
- •3. Понятие концепции защиты государственной тайны в Российской Федерации.
- •Основные угрозы для информации, составляющей государственной тайну:
- •Внешние
- •4. Система документов по защите государственной тайны.
- •5. Признаки государственной тайны.
- •6. Сфера действия Закона “о государственной тайне”.
- •7. Основные полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне.
- •1.Палаты Федерального Собрания:
- •2. Президент Российской Федерации:
- •5. Органы судебной власти:
- •8. Перечень сведений, составляющих государственную тайну.
- •9. Принципами отнесения сведений к государственной тайне и их засекречивания.
- •10. Степени секретности сведений и грифы секретности носителей этих сведений.
- •11. Порядок отнесения сведений к государственной тайне.
- •13. Порядок засекречивания сведений и их носителей.
- •14. Рассекречивание сведений и их носителей.
- •16. Органы защиты государственной тайны, их основные функции.
- •17. Допуск должностных лиц и граждан к государственной тайне.
- •18. Ограничения прав должностного лица или гражданина, допущенных или ранее допускавшихся к государственной тайне.
- •19. Ответственность за нарушение законодательства Российской Федерации о государственной тайне.
- •20. Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну.
- •21. Основные функции межведомственной комиссии по защите государственной тайны.
- •22. Основные функции Федеральной службы безопасности Российской Федерации.
- •23. Основные функции службы специальной связи информации.
- •24. Основные задачи фстэк России по защите государственной тайны.
- •25. Сущность перечневого подхода к организации защиты государственной тайны.
- •27. Критерии отнесения сведений к государственной тайне.
- •28. Подходы к определению размеров ущерба вследствие распространения сведений, составляющих государственную тайну.
- •1.. Определение размеров ущерба вследствие распространения сведений с использованием моделей "осведомленность - эффективность"
- •2. Определение размеров ущерба вследствие распространения сведений с использованием экспертных оценок
- •29. Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности.
- •30. Принципиальные особенности Закона рф “о государственной тайне”.
- •32. Порядок лицензирования деятельности в области защиты государственной тайны.
- •33. Полномочие органов государственной власти по лицензированию деятельности в области защиты государственной тайны.
- •34. Особенности лицензирования деятельности в области защиты информации, составляющей государственную тайну.
- •35. Структура системы сертификации средств защиты информации, составляющей государственную тайну.
- •36. Порядок сертификации средств защиты информации, составляющей государственную тайну.
- •37. Понятие контроля и надзора за обеспечением защиты государственной тайны.
- •38. Виды, методы и формы контроля состояния защиты государственной тайны. Виды контроля
- •Методы контроля
- •39. Структура системы контроля состояния защиты государственной тайны.
- •40. Организация контроля состояния защиты государственной тайны.
- •41. Организация защиты государственной тайны на предприятиях, в организациях и учреждениях.
- •42. Особенности защиты государственной тайны на предприятиях, в организациях и учреждениях в условиях реализации международных договоров по сокращению вооружений и вооруженных сил.
- •43. Особенности защиты государственной тайны в условиях создания совместных предприятий.
- •45. Понятие комплексной защиты информации от технических разведок и от ее утечки по техническим каналам.
- •46. Физическая защита носителей информации.
- •47. Защита информации от ее утечки по техническим каналам.
- •48. Защита информации от несанкционированного доступа.
- •Подсистема обеспечения целостности включает программно-аппаратные, организационные и другие средства и методы, обеспечивающие:
- •Важной составной частью подсистемы обеспечения целостности являются программно-аппаратные средства защиты информации от вирусов и других вредоносных программных закладок.
- •49. Криптографическая защита информации.
- •50. Новые информационные технологии и их влияние на решение задач защиты государственной тайны.
- •51. Планирование работ по комплексной защите государственной тайны.
- •52. Финансирование работ по защите государственной тайны.
9.3. Порядок сертификации средств защиты информации, составляющей государственную тайну
Указанный порядок установлен Положением о сертификации средств защиты информации и отображен на рис. 9.1.
Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции.
Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны. В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации, к которой могут быть приложены схема проведения сертификации, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые средства защиты информации.
Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защиты информации, а при необходимости - решение о проведении и
сроках предварительной проверки производства средств защиты информации.
Для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган по сертификации оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.
Основными схемами проведения сертификации средств защиты информации являются:
для единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;
для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований.
Кроме того, допускается предварительная проверка производства по специально разработанной программе.
Срок действия сертификата не может превышать пяти лет.
Испытания сертифицируемых средств защиты информации проводятся на образцах, технология изготовления и конструкция (состав) которых должны соответствовать образцам, поставляемым потребителю (заказчику).
В отдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. При этом орган по сертификации средств защиты информации определяет условия, необходимые для обеспечения объективности результатов испытаний.
В случае отсутствия к началу проведения сертификации аккредитованных испытательных лабораторий орган по сертификации средств защиты информации определяет возможность, место и условия проведения испытаний, обеспечивающие объективность их результатов.
Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.
При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертификата и направляет изготовителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата изготовитель имеет право обратиться в центральный орган системы сертификации, федеральный орган по сертификации или в Межведомственную комиссию для дополнительного рассмотрения полученных при испытаниях результатов.
Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или аннулировать действие сертификата в следующих случаях:
изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;
изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.
Порядок оплаты работ по обязательной сертификации средств защиты информации определяется федеральным органом по сертификации по согласованию с Министерством финансов Российской Федерации. Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации.
Инспекционный контроль за сертифицированными средствами защиты информации осуществляют органы, проводившие сертификацию этих средств защиты информации.
При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в орган по сертификации средств защиты информации, в центральный орган системы сертификации, в федеральный орган по сертификации или в Межведомственную комиссию. Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованных сторон и извещают подателя апелляции о принятом решении.
Органы, осуществляющие сертификацию средств защиты информации, несут ответственность, установленную законодательством Российской Федерации, за выполнение возложенных на них обязанностей, обеспечение защиты государственной тайны и других конфиденциальных сведений, сохранность материальных ценностей, предоставленных изготовителем, а также за соблюдением авторских прав изготовителя при сертификационных испытаниях средств защиты информации.