Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4605 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
256.doc
Скачиваний:
254
Добавлен:
30.04.2022
Размер:
1.66 Mб
Скачать
►Содержание►

10. Организация защиты информации, составляющей государственную тайну

10.1. Организация защиты информации, составляющей государственной тайны, на предприятиях, в организациях и учреждениях

Согласно ст. 20 Закона “О государственной тайне” органы государственной власти, предприятия, учреждения и организации (далее – предприятия) обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции. Защита государственной тайны является видом основной деятельности предприятия.

Организация работ по защите государственной тайны на предприятиях осуществляется их руководителями. В зависимости от объема работ руководителем предприятия создается структурное подразделение по защите государственной тайны либо назначаются штатные специалисты по этим вопросам.

Общие требования по организации и проведению работ по защите государственной тайны устанавливаются в Инструкции, утверждаемой Правительством РФ. Такая инструкция содержит требования по обеспечению пропускного режима, охраны территории объекта, доступу персонала на территорию, по порядку обращения с секретными документами, защите информации от технических разведок, от ее утечки по техническим каналам, а также другие требования.

Одной из важных задач подразделения по защите государственной тайны является защита информации, составляющей эту тайну, от технических разведок, утечки информации по техническим каналам, несанкционированного доступа к информации в системах информатизации и связи. При значительном объеме работ по решению этой задачи на предприятии может создаваться специальное структурное подразделение защиты информации.

Подразделения защиты информации (штатные специалисты) на предприятиях выполняют следующие функции:

  • определяют (совместно с заказчиками) основные направления работ по защите информации;

  • участвуют в согласовании технических заданий на проведение работ по защите информации;

  • дают заключение о возможности проведения работ с информацией, содержащей сведения, отнесенные к государственной тайне.

  • участвуют в выполнении мероприятия по защите информации;

  • осуществляют контроль за выполнением и эффективностью проводимых мероприятий.

Они подчиняются непосредственно руководителю предприятия или его заместителю и обеспечиваются средствами защиты информации и контроля в соответствие со специализацией предприятия.

Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия и организации, имеющие лицензии на проведения работ в области защите информации.

Правовой основой для организации защиты информации, составляющей государственную тайну, служат действующий на предприятии Перечень сведений, подлежащих засекречиванию, который содержит выписки из отраслевых (ведомственных, программно-целевых) развернутых перечней сведений, подлежащих засекречиванию.

Общая технологическая схема организации защиты информации, составляющей государственную тайну, представляет собой последовательную (при необходимости - итерационную) процедуру, показанную на схеме 10.1 и включающую:

  • оценку угроз безопасности информации и состояния защиты информации на предприятии;

  • определение целей и задач защиты информации, принятия решения о мерах защиты информации;

  • планирования мероприятий по ее защите информации;

  • постановки задач исполнителям работ, организации их взаимодействия и всестороннего обеспечения;

  • выполнения запланированных мероприятий;

  • контроля выполнения мероприятий и оценки их эффективности.

В качестве исходных данных для организации процесса защиты информации используются:

  • содержание используемой информации, степень ее секретности, объемы информации;

  • характеристики применяемых носителей информации;

  • описания протекающих информационных процессов;

  • требования по вопросам защиты информации, содержащиеся в законодательных, организационно-распорядительных и нормативных документах;

  • содержание программ и планов работ учреждения, в том числе по вопросам защиты государственной тайны;

  • информация, содержащаяся в каталогах, справочниках, пособиях и других информационных документах по вопросам защиты информации.

Всю процедуру организации защиты информации можно условно разбить на три этапа.

На первом этапе, прежде всего, определяется перечень сведений, подлежащих защите, выявляются возможные угрозы безопасности информации, и разрабатывается модель таких угроз, проверяется выполнение требований по защиты информации.

Схема 10.1. Технологическая схема организации защиты информации на предприятии (в учреждении, организации)

Исходя из целей и задач деятельности учреждения, выявленных недостатков по обеспечению защиты информации формулируются цели информации, разрабатывается замысел их достижения, определяются задачи, требующие решения. При определении целей защиты учитываются действующие на предприятии развернутые перечни сведений, подлежащих засекречиванию и носители этих сведений.

На втором этапе разрабатываются предложения по способам и средствам защиты информации, обеспечивающих решение задач защиты информации, осуществляется оценка их технической реализуемости, стоимости, выбираются рациональные способы и средства защиты информации и контроля ее эффективности, планируется их применение. Далее осуществляется постановка задач исполнителям работ, их обучение, организация их взаимодействия при решении совместных задач, подготовка необходимых организационно-распорядительных, нормативных и методических документов, а также техническое обеспечение мероприятий по защите информации.

На третьем этапе в ходе аттестации объектов защиты проверяется выполнение требований по защите информации с учетом принятых мер в конкретных условиях эксплуатации объектов. Непосредственное применение способов и средств защиты информации сопровождается повседневным и инспекционным контролем выполнения мероприятий по защите информации, оценкой их эффективности, а также общей оценкой состояния информации на объекте.

При практической реализации представленной выше технологической схемы возможно возникновение нескольких итераций выполнения работ. Например, если из-за ограниченности выделяемых ресурсов не удается реализовать эффективные способы защиты некоторых объектов, то возможно изменение цели и задач защиты информации. Такое изменение может быть выполнено только по с разрешения заказчика проводимых работ, а, если это связано с изменением перечня засекречиваемых сведений, то только по решению органа государственной власти, наделенного полномочиями по распоряжению этими сведениями.

Цели и задачи защиты информации, а также все связанные с ними организационные и технические мероприятия могут также быть изменены по результатам контроля эффективности защиты информации в процессе жизненного цикла объекта защиты. Такое изменение, например, возможно при выявлении новых каналов утечки информации или обнаружении неэффективности выполняемых мер защиты или при изменении условий, в которых осуществляется функционирование защищаемого объекта.

Конкретное содержание и порядок организации и осуществления мероприятий по защите информации на объекте определяется действующим на этом объекте Руководством по защите информации.

Руководство должно включать из следующие разделы:

  • общие положения;

  • сведения об объекте защиты;

  • технические каналы утечки информации;

  • оценка возможностей технических разведок и других источников угроз безопасности информации;

  • организационные и технические мероприятия по защите информации;

  • обязанности и права должностных лиц;

  • планирование работ по защите информации и контролю;

  • контроль состояния защиты информации; аттестование рабочих мест;

  • взаимодействие с другими предприятиями (учреждениями, организациями).

В зависимости от особенностей объекта допускается вводить и другие разделы.

В приложения к Руководству включаются:

  • таблицы, схемы, графики, расчеты, исходные данные и другие справочные материалы для оценки обстановки, определения мероприятий по защите информации;

  • перечень создаваемых (применяемых) изделий, выполняемых НИОКР и другой продукции, подлежащих защите;

  • перечень сведений, подлежащих защите; план объекта с указанием схем размещения рабочих мест, стендов и т.д., и схем организации связи и сигнализации объекта;

  • структура системы защиты информации на объекте; перечень руководящих, нормативных и методических документов по защите информации и др.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности