Организационное обеспечение Иб

Коваленко Юрий Иванович

Характеристика дисциплины организационное обеспечение информационной безопасности - ООИБ.

Цели и задачи дисциплины ООИБ.

Целью данной дисциплины является приобретение знаний по организационному обеспечению ИБ и формированию практических навыков в конкретных условиях.

Задачи - изучение теоретических, методологических и практических проблем формирования, функционирования и развития систем ООИБ.

Надо знать после изучения :

1. Теоретические основы функционирования систем ООИБ, ее современные проблемыи терминологию.

2. Цели, функции и процессы управления системами ООИБ, в ЮЛ с различными формамими собственности.

3. Основные направления и методы ООИБ.

Уметь:

1. Анализировать эффективностьт систем ООИБ и разрабатыыать направления его развития

2. Разрабатывать нормативно-методические материалы по регламенртации системы ООИБ.

3. Организовывать работу с персоналом, обладающим конфиденциальной информацией.

4. Организовывать охрану персонала, территорий, зданий, помещений и продукции организации.

5. Организовывать и проводить служебные расследования по фактам разглашения, утечки информции и НСД к ней.

6. Организовывать и проводить аналитическую работу по предупреждению утечки конфитденциальной информации.

Дидактический аппарат ООИБ.

1. Принципы, силы, средства и условия ООИБ.

2. Порядок засекречивания и рассекречивания документов и продукции.

3. Допуск и доступ к конфденциальной инфорции и документам.

4. Организация внутриобъектового и пропускного режимов на предприятии.

5. Организация подготовки и проведения совещаний и заседаний по конфиденциальными вопросам.

6. Организация охраны предприятий.

7. Защита информамции при публикаторской и рекламной деятельности.

8. Организация аналитической работы по предупреждениям утечки кгнфитденциальной информации.

9. Направления и методы работы с персоналом, обладающим конфитденциальной информацией.

Организационное обеспечение информационной безопасности - один из основных инструментов обеспечения безопасности информации.

ИБ РФ - состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства - доктрина ИБ.

ИБ - защита конфиденциальности, целостности и доступности информации (ГОСТ Р ИСО/МЭК 17799 2005 г.).

Перечень стандартов

Номер, номер стандарта, наименование, область применения.

Основной - Р 50922 2006 г. - защита информации, основные термины и определения.

ИБ объекта информатизации - состояние защищенности объекта информатизации при котором обеспечивается безопасность информации и автоматизированных средств ее обработки - Р 50.1.056-2005.

Объект информатизации - совокупность информационных ресурсов, средств, систем обработки информации, используемых в соответствии с заданной ИТ, а так же средств их обеспечения, помещений или объектов (зданий, сооружений, ТС), в которых эти средства или системы установлены или помещений и объектов, предназначенных для ведения конфиденциальных переговоров. ГОСТ Р 51275-2006 .

Защищаемый объект информатизации, предназначенный для обработки защищаемой информации с трребуемым уровнем ее защищенности. Р50.1.056-2005.

Опыт показывает, что обеспечение безопасности не можетбыть одноразовым актом, это непрерывный процесс, который закючается в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявление уязвимостей и противоправных действий. Безопасность информации может быть обеспечена только при организации комлексного использования всего арсенала имеющихся средств защиты по всем структурным элементам производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда используемые средства, методы и меры объединены в единый механизм.

СЗИ - совокупность органов и/или исполнителей, используемой ими техники ЗИ, а так же объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствувющими документами в области ЗИ. ГОСТ Р 50922-2006.

Функционирование СЗИ должно контроллироваться, обновляться, дополняться, в зависимости от изменения внешних и внутренних условий.

Никакая СЗИ неможет обеспечить требуемого уровня безопасности информации без надлежащей подготовки персонала, атак же пользователей, в интересах которых развернуты АС и соблюдения всеми причастными установленных правил защиты.

Характеристика СЗИ.

С точки зрения системного подхода, к СЗИ предъявляются следующие требования:

1. Непрерывность

2. Конкретность - защите подлежат конкретные данные, для которых необходима охрана, поскольку их утрата может нанести ущерб организации.

3. Активность - защищать информацию нужно с необходимой степенью настойчивости.

4. Целенаправленность - защищать следует то, что должно защищаться в интересах конкретной цели, а не все подряд.

5. Плановость - планирование осуществляется путем разработки каждой службой детального плана защиты информации в сфере своей компитенции. Планирование осуществляктся с учетом общей уставной цели органгизации.

6. Универсальность - считается, что в зависимости от вида канала утечки или способа НСД, его необходимо перекрывать, где бы он не проявлялся разумными и достаточными средствами, независимо от характера, формы и вида информации.

7. Комплкксность - для защиты должны применятьсявсе виды и формы защиты в полном объеме. Недопустимо применять только отдельные форомы или отдельные ТС. Комплексный характер защиты проистекает из того, что защита - специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых, в свою очередь, имеет множество различных взаимообуславливающихдруг друга сторон, свойств, тенденций.

8. Надежность - методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемой информации, независимо от форм ее представления, языка выражения и вида физического носителя, на котором она закреплена.

Виды собственного обеспечения СЗИ.

СЗИ как любая система должна иметь определенные виды собственного обеспечения, опираясь на которые, она будет выполнять задачи по предназначению. С учетом этого, СЗИ может иметь следующие виды собственного обеспечения:

1. Организационное обеспечение - защита информации осуществляется определенными структурными единицами организации(служба защитф документов, служба режима, служба защиты информации техническими средствами, антивирусная группа).

2. Правовое обеспечение - нормативные акты, документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их деятельности.

3. Нормативно-методическое обеспечение - нормы и регламенты деятености организации, органов служб, средств, реализующих функции защиты инфорции, а так же различные методики, которые обеспечивают деятельность пользователей при выполнении своей работы в условиях жестких требований к защите информации.

4. Аппаратное обеспечение - использование ТС как для защиты информации, така и для обеспечения деятельности самой СЗИ.

5. Программное обеспечение - информационный, учетный, статистические и расчетные прораммы, которые обеспечивают оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации.

6. Математическое обеспечение - предполагает использование математических методов для различных расчетов,связанных с оценкой опасности применяемфх тезнических средств злоумышленником, а так же расчетов, зон, норм необходимой защиты.

7. Информационное обеспечение - включает в себя сведения, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить показатели доступа, учета, хранения, а так же показатели системы информационного обеспечения, расчеты задач различного характера, которые связаны с деятельностью службы обеспечения безопасности.

8. Лингвистическое обеспечение - совокупность специальных языковых средств общения специалистов и пользрвателей в сфере защиты информации.

Кроме того, как любая система, СЗИ имеет свои цели, задачи, методыи средства деятельности, которые должныбыть согласованы по месту, времени, исполнителям, в зависимости от внутренних и внешних условий, следовательно на первый план выдвигается оптимальное сопряжение всех видов обеспечения, реализующих целевую функцию защиты информации.

Организационная структура систем обеспечения ИБ.

Конечной целью создания системы ООИБ является предотвращение или минимизация ущерба(прямого или косвенного, материального, морального или иного), наносимого субъектом информамционных отношений в результате нежелательного воздействия на информацию, ее носители и процесс обработки. В общем случае, основной задачей СЗИ является обеспечение необходимогоиуровня доступности, целостности и конфиденциальности ресурсов АС. Основная задача обеспечения ИБ - управление персоналом, ресурсами, средствами защиты, рисками. Неотъемлемой частью ИС являются люди. От того, какимобразом они реализуют свои функции, зависит нетолько эффебктивность решения поставленных задач, но и безопасность системы. В любой АС на состояние ИБ влияют следующие субъекты:

1. Сотроудники структурных подразделений (конечные пользователи АС), решающие свои задачи с применением средств автоматизации.

2. Программисты, осуществляющие разработку, приобретение, адаптацию необходимых прикладных программ для автотизации деятельности пользователей.

3. Сотрудники подразделения внедрения и сопровождения программного обеспечения, которые обеспечиваютнормальное функционирование и установленный порядок инсталляции и модификации прикладных программ.

4. Сотрудбники подразделения эксплуатации ТС, которые обеспечивают нормальную работу и обслуживание ТС обработки и передачи информации и системного программного обеспечения.

5. Системные администраторы штатных средств защиты.

6. Сотрудники подразделения защиты информации, которые оценивают состояние ИБ, определяют требование к системе защиты, разрабатфвают организационно-распорядительные документы по вгпросам обеспечения ИБ, внедряют и администрируют специальные дополнительные средства защиты.

7. Руководители организации, определяющие цели и задачи функционирования АС, направления ее развития, принимают стратегические решения по вопросам безопасности (концепция ИБ организаций), утверждают основне документы, которые регламентируют порядок безопасной обработки и использования защищаемой информамции ограниченного распространения сотрудниками фирмы.

Кроме того, наИБ могут влиять посторонние лица и другие организации, которые предпринимают попытки вмешательства в процесс нормального функционирования АС или в попытки НСД к инфе, как локально, так и удаленно.

Таким образом, персонал и пользователи - неотьъемлемамя часть АС - являются как источником внутренних угроз, так и компонентом системы защиты. Одним из основных направлений ИБ является регламентация действий всех пользователей и обслуживающего персонала АС. При этом цели регламентации действий заключаются в создании следующих ситуаций:

1. Сокращение возможности реализации угроз от лиц из числа пользователей и персонала.

2. Реализация специальных мер противодействия другим внутренним и внешним длясистемы угрозам (связаны с отказами, сбоями оборудования, ошибками в программах, стихийными бедствиями, а так же действиями посторонних лиц, неявляющихся частью АС). Для того, чтобы персонал и пользователи имели возможность реализоватьт свои обязанности по защите, должны быть обязатено регламетированы вопросы выполнения ими щополнительных специаных обязанностей, которые связаны с усилением режима ИБ. Для защиты от действий посторонних лиц, необходимы меры, работающие на физическом, аппаратном и программном уровне. Применение таких средств требует специальная регламентацию в вопросах использования конечными пользователями. Таким образом, можно сдела вывод, что к обеспечению ИБ организации должны привлекаться все сотрудники, участвувющие в автотматизированной обработке защищаемой информации (и не только защищаемой).

При правильной организации ИБ за формирование СЗИ, реализацию единой политики, осуществление мониторинга, аудита, координации действий всех подразщделений и сотрудников должно непосредственно отвечать специальное подразделение(должностное лицо). Учитывая, что таое подразделение малочисленно, решение комплексных задач обеспечения ИБ возможно только при назначении во всех подразделениях, эксплуатирующих АС, внештатных помощников.

Эффективное использование штатных и дополнительных средств защиты обеспечивается штатными специалистами по ИБ. Организационную структуру системы обеспечения ИБ АС можно представитьт в виде совокупности нескольких уровней:

1. Руководство организации - формулирование стратегическитх задач ИБ.

2. Подразделение обеспечения ИБ - реализация и функционирование СЗИ.

3. Администраторы штатных и дополнительных средств защиты - обеспечение функционирование штатных и доп.систем защиты.

4. Ответственные ИБ на технологич. Участках

5. Конечные пользователи и обслуживающий персонал - обеспечение ИБ на рабочих местах

Для реализации системы защиты информации необходимо выполнить определенные технологические элементы обеспечения ИБ. Требования к технологии включают слудеющие компоненты:

1. Соответствие современному уровню развития ИТ.

2. Учет особенностей построения и функционирования подсистем АС.

3. Точная и своевременная реализация политики безопасности организации.

4. Минимизация затрат нареализациб самой технологии обеспечения безопасности.

Для успешной реализации технологии обеспечения безопасности в АС,необходимо наоичие следующих состовляющих:

1. Наличие полной и непротиворечивой правовой базы.

2. Распределение функций и определение порядка взаимодействия подразделений и должностных лиц организации по вопросам защиты информамции на всех этапах жизненного цикла подсистем АС при обеспечении распределения полномочий и ответственности.

3. Наличие специального органа, наделенного необходимыми полномочиями и непосредственно отвечающего за реализацию единой политики ИБ- ПИБ.

Реализация технологии обеспечения ИБ предполагает проведение следующих мероприятий:

1. Назначение и подготовка должностныз лиц, отвечающих за конкретные практические защитные мероприятия.

2. Строгий учет всех подлежащих защите ресурсов системы и определение требований к организационно-техническим мерам и средствам защиты

3. Разработка реально выполнимых и непротиворечивых документов по вопросами защиты

4. Реализация технологических процессов обработки информации, в соответствии с требованиями по обеспечению ИБ.

5. Принятие эффективных мер сохранности и обеспречения физической целостности ТС и поддержка необходимого уровня защищенности компонентов АС.

6. Применение физических и тезнических средств защиты и непрерывная административная поддерж их использования.

7. Регламентация всех процессов обработки защищаемой информации с применением средств автоматитзации, а так же, действий сотрудников.

8. Регламентация всехи действий персонала, обслуживающего и модифицирующего и модифицирующего программные ТС на основе утвержденных документов по вопросам безопасности.

9. Четкое знание и строгое соблюдение всеми сотрудниками, использующими и обслуживающими аппаратнае и программные средства АС требований документов по ИБ.

10. Персональная ответственность за действия каждого сотрудника, участвующего в обработке информации, имеющего доступ к ресурсам.

11. Осуществление эффективного контроля за соблюдением всех требований по обеспечению ИБ.

12. Проведение постоянного анализа эффективности и достаточности мер защиты.

13. Разралотка и реализация предложений по совершенствованию системы защиты инфоромации

.Силы и средства обеспечение ИБ хоз. Субъекта

Основные методы,принципы и свойства организационного обеспечения ИБ

Организационное обеспечение АС.

Совокупность документов, устанавливающих организационную структуру, права и обязанности пользователей и эксплуатационного персонала АС в условиях функционирования, проверки и обеспечения работоспособности АС - ГОСТ 34.003-90. Организационно-методическое обеспечение АС - совокупность документов, определяющих организационную структуру объекта и системы автомамтизации, необходимых для выполнения конкретных автоматизируемых функций; деятельность, в условиях функционирования системы атака де формы представления рещультатов деятельности - РД50-680-88. Организационная защита занимамет особое место среди направлений защиты информации - правовая защита, инженерно-техническая, организационная.

Организационная защита призвана посредством выбора конкретных сил и средств, в т.ч. правовых и инженерно-технических, реализовать на практике спланированные руководством предприятия меры по защите информации. Эти меры принимаются в зависимости от конкретной обстановки на предприятии, связанной с наличием возможных угроз, воздействувющих на защищаемую информацию и ведущих к ее утечке. Призащите информации, главное значение по организационному обеспечению принадлежит руководст предприятия. При этом, основными направлениями деятельности, которые осуществляются руководством, являются:

1. Планирование мероприятий по защите информации.

2. Персональный контроль за выполнением этих мероприятий.

3. Принятие решений о непосредственном доступе к информайии ограниченного распространения своих сотрудников и представителец других организаций.

4. Распределение обязанностей и задач между доллжностными лицами и структурными подразделениями.

5. Организация и участие в применении аналитической работы.

Целью принимаемых руководством предприятия и должностными лицами организационных мер является исключение утечки информации и таким образом, уменьшение или полное исключение возможности нанесение предприятию ущерба

Можно сформулировать следующие принципы организационной защиты информации (ООИБ):

1. Принцип комплексного подхода - эффективное использование сил, средств, способови методов защиты информации для решения поставленных задач, в зависимости от конкретной ситуации и наличия факторов, ослабляющих или усиливающих угроза защищаемой информации.

2. Принцип гперативности принятия управленческих решений - данный принцип существенно влияет на эффективность функционирования и гибкость системы защиты информации иотражает нацеленность руководства и персонала предприятия на решение задач защиты информации.

3. Принйип персональной ответственности - наиболее эффективное распределение задач по защите между руководством и персоналом и определение ответственности за полноту и качество их выполнения.

ООИБ осцществляется по следующим направлениям:

1. Организация внутриобхектового и пропускного режима и охраны.

2. Организация работы с персоналом.

3. Организация работы с носителями сведений.

4. Организация аналитической работы и контроля.

5. Комплексное планирование мероприятий по ООИБ.

Основные условия ООИБ :

1. Непрерывность всестороннего анализа функционирования системы защиты информации в целях принятия своевременных мер поиповышению ее эффективности.

2. Неукоснительное соблюдение руководством и персоналогм предприятия установленных норм и правил защиты инфоромации ограниченного распространения.

При соблюдении перечисленных условий, обеспечивается наиболее полное и качественное и качественное решение задач по обеспечению безопасности информации.

Основные подходы и требования к организации системы органгизационного обеспечения ИБ.

При создании системы ООИБ в первую очередь учитывают наиболее важные приоритетные направления деятельности предприятия, требующие особого внимания. Предпочтение отдается новым перспективным направлениям деятельности предприятития, которые связаны с научными исследованиями, новейшими технологиями, формирующими интеллектуальную собственность, а так же развивающимися международными связями. Исходя из перечисленных приоритетов, выбирают то, что наиболее важно для организации и формируют перечень возможных угрох (модель угроз).

Исходя из разработанной модели угроз, определяются требования, силы,средства, способы и методы защиты. Ряд требований, которые определяют целостность, стройность и эффективнос ООИБ могут быть представленытакой последовательностью:

1. Система должна быть централизованной.

2. Плановой.

3. Конкретной и целенаправленной.

4. Активной.

5. Надежной и универсальной.

Основныен силы, используемые при организационном обеспечении ИБ.

Силы и средства различных предприятий отличаются по структуре, характеру и порядку использования. Те предприятития,которые работают с информацией ограниченного распргстранения и решают задачи по ее защите в рамках повседневной деятельности на постоянной основе, вынуждены создавать самостотятельные структурные подразделения и использовать высокоэффективные средства защиты информации. Если предприятие лишь эпизодически работает с информаыией ограниченного распространения, в силу ее небольших объемов, то вместо создания специализированных подразделений они могут включать в свои штаты отдельные должности специалистов по защите информации. Такие подразделения и пдолжности являются органами защиты информации.

Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации а так же, объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и руководительными документами по защите информации - ГОСТ Р 50922-2006. Если предприятияработают с незначительными объемами информации ограниченного распространения, то они могут на договорной основе использовать потенциал более крупных предприятий, имеющих необходимое кол-во квалифицированных сотрудников, высокоэффективные средства защиты информации, а так же, большой опыт практической работы в данной области. В соответствии с законодательством РФ, информация подразделяется на:

1. Общедоступную

2. Инфоромацию ограниченного доступа

Информация ограниченного доступа подразделяется на:

1. ГТ

2. Не ГТ - конфиденциальная

1. ПД

2. Тайна следствия и судопроизводства

3. Служебная тайна

4. Профессиональная тайна

5. КТ

6. Тайна изобретения

Указ #188 от 6 марта 1997г.

В любом случае, ведущую роль в ООИБ на предприятии играетируководитель предприятия, а так же его заместитель, непосредственно возглавляющий эту работу.

Руководительпредприятия несет персональную ответственность за организацию и проведение необходимых мероприятий, направленных на исключение утечки сведений, отнесенных к информвции ограниченного распространения и утрат носителей информации.

Руководитель обязан:

1. Знать фактическое состояние дел в области зашиты информации иорганизовывать постоянную работу по выявлению и закрытию возможнбых каналов утечки информации ограниченного распространения.

2. Определя обязанности и задачи должностным лицам и структурным подразделениям предприятия в области ООИБ.

3. Проявлять высокую требовательность к персоналу предприятия в вопросах сохранности информации ограниченного распространения.

4. Оценивать деятельность должностных лиц и эффективность мероприятий по защите информации.

Заместитель руководителя мероприятитя:

1. Постоянно изучать всве стороны и направления деятельности предприятия для принятия своевременных упреждающих мер по защите информации.

2. Руководить работой СБ или структурных подразделений, решающих задачи по защите информации, а так же, отдельных специалистов по защите информации.

3. Выполнять другие функции по организации защиты информации в ходе проведения предприятием всех видов уставной деятельности.

Кроме такого руководства, на предприятии ООИБ могут заниться следующие структурные подразделение:

1. Режимно-секретное подразделение

2. Подроазделение по технической защите информации и противодействию техническим разведкам.

3. Подразделение криптографической защиты информации

4. Подразделение охраны

5. Подразделение пропускного режима

6. Мобилизационное подразделение.

Эти подразделение выполняют функции по ООИБ в соответствии с приказом руководителя, т.е. приказом определяется кто за что отвечает.

По решению руководителя эти подразделения могут быть сведены в единую службу безопасности. Ее руководитель зачастую имеет статус заместителя директора.

Режимно-секретное подразделение, мобилизационное и подразделение по ТЗИ И ПДТР солздаюфтся в организациях, которые работают со сведениями, составляющими ГТ.

Режимнл-секретное подразделение - основное структурное подразделение предприятия, которое решает задачи организации, координации, и кгнтроля деятельности других структурных подразделений и персонала предприятия по обеспечению сведений, составляющих ГТ. На предприятиях, не выполняющих работы в области ГТдля решения задач по защите конфиденциальной информации вместо режимно-секретногоо подразделения, создается, например, служба защиты информации.

Подразделение по ТЗИи ПДТР. Решает задачи организации и проведения комплекса технических мерпориятий, направленных на исключение или существенное затруднение добывания разведками с помощью ТС сведений, составляющих ГТ.

Подразделение криптографической защиты создается для предотвращения утечки информамции ограниченного распространения при ее передаче по открытым каналам с помощью ТС, ат же, при использовании ЛВС, имеющих выход за пределы территории.

Подразделения охраны и пропускного режимасоздаются в целях предотвращения несанкционированного пребывания на территории и объектах предприятия посторонних лиц, транспорта и других ТС, нанесение ущерба предприятию путем краж с территории предприятития активов.

Мобилизационное подразделение - решает задачи всесторонней подготовки предприятия к работе в условиях военного времени, призыва и поступления мобилизационных людских и материальных ресурсов.

Кроме указанных подразделений к работе по ООИБ могут привлекаться и другие структурные подразделения, для которых выполнение защитных мероприятий не является основной функцией - кадровый орган, юридическая служба, пресс-служба.

В области организационного обеспечения ИБ очень важно участие производственных подразделений. Кроме того, для оведенияработ по защите используют также возможности различных нештатных подразделений, в т.ч. коллегиальных органов - постоянно действующая экспертная комиссия.

Основные методы, используемые при ООИБ ХС.

Законодательством России установлено, что защита информации - принятие правовых, организационных и техническитх мероприятий (ст.16 149 ФЗ).

Методы защиты информации - применяемые в целях исключения утечки информации универсальные и специфические спосоьбы использования имеющихся сил и средств, которые учитывают специфику деятельности по защите информации конкретного ХС.

Общие методы защиты подразделяются на:

1. Правовые - регламентируют и всесторонне нормативно регулируют деятельность по защите информации, выделяя при этом, организационное направление - решение задач по исключению утечки КТ или ПД осуществляется при взаимодействии предприятия с различными государстыенными и территориальными инспекторскими и надзорными органами. Эти органы, в соответствии с предоставленными им законом полномочиями получают от коммерческитх предприятий сведения, составляющие КТ.

2. Организационные - определяют порядок и условия комплексного использования имеющихся сил и средств, эффективность которого зависит от применяемых методов технического и экономического характера. Метожы направлены на решение задач:

1. Реализация на предприятии эффективного механизма управления, который обеспечивал бы защиту информации ограниченного распространения и недопущение ее утечки.

2. Осуществление принципа персональной ответственности руководителей подразделений и персонала за защиту инфоромации ограниченного распространения.

3. Определение перечней сведений, относимых на предприятии к различным категориям информации ограниченного распространения.

4. Ограничение круга лиц, имеющих право доступа к различным видам информации, в зависимости от степени ее секретности или конфиденциальности.

5. Подбор, расстановка, изучение и обучение лиц, назначаемых на должности, связанные с инфорцией ограниченного распространения, воспитание этого персонала.

6. Организация и ведение конфиденциальногоо делопроизводства.

7. Осуществление систематического мониторинга и аудита за соблюдением установленных требований по защите информации.

Данный перечень грганизационных методов не является полным и в зависимости от специфики работы предприятия, секретности или конфиденциальности используемой информации, объема выполняемых работь, задач производственного характера а так же опыта работы в области защиты информации может быть дополнен другими методами.

3. Технические - основаны на применении на законном основании сертифицированных продуктов защиты. Если на предприятии ведутся работты с использованием сведений, составляющих ГТ, то криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптотграфических алгоритмов, рекоммендованных ФСБ РФ.

4. Экономические - механизм анализа требуемых затрат насредства защиты и сопоставления этих объемов со стоимостью ущерба в случае неприменения средств защиты.

Все эти методы взаимоязаны.

Основные средства, используемые при ООИБ.

Чтобы добиться максимальной эффективности при решении задач защиты информации, наряду с испольщованием методов защиты, необходимо применять средства защиты информации.

ЗакономРФ о ГТ установлено, что средствами защиты информации являются:

1. Технические, криптографические, программные и другие средства, предназначенные для защиты свседений, составляющих ГТ.

2. Средства, в которых они реализованы.

3. Средства контроля эффективности защиты информации.

Применяя данные средства, защита информации может быть обеспечена криптографическими или не криптографическими методами.

Техническая защита информации - деятельность, направленная на обеспечение не криптографическими методами безопасности информации(данных), подлежащих защите в соответствии с действующим законодательством сприменениеми технических, программных и программно-технических средств - Р50.1.056-2005г.

В процессе деятельности по ТЗИ используются соответстющие ТС.

Технические средства защиты информации - приборы, предназначенные для обеспечения защитф информации, исключения ее утечки и создания препятствий/помех посторонним ТС, стремящимся получить доступ к инфорцмаии, подлежащей защите.

Криптографические средства защиты информации - средства/устройства, обеспечивающие защиту информации ограниченного распространения путем ее криптографического преобразования (шифрования).

ПП РФ установлено, что средство шифрования - аппаратные, программные, аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и преднгазначенные для защиты информации при передаче по каналам связи и/или для защиты информции от НСД при ее обработке и хранении.

Существуют так же, программные средства защиты информации, т.е.системы защиты средств автоматизации (персоналки, вычислительныен комплексы) от внешнего (постороннего) вздействия или вторжения.

Таким образом, комплексная задача организационного обеспечения информационной безопасности реализуется путем согласованного применения сил, средств и методов защиты информации.

Планирование мероприрятий по ООИБ на предприятии.

Основные цели планирования мероприятий по ООИБ.

Планирование мероприятий по защите КИ является одним из наиболее важных направлений деятельности предприятия, использующего едения ограниченного распространения. Планирование мероприятий занимает особое место в системе управления деятельностью предприятия как вцелом, так и его структурных подразделений.

Основными целями планироыания мероприятий организационного обеспечения является достидение следующих показателей:

1. Организация проведения комплекса мероприятий по защите КИ, направленных на исключение потенциальных каналов утечки.

2. Установление персональной ответственности всех должностных лиц за решение вопросов защиты информации в процессе производственной и иной деятельности предприятия.

3. Определение сроков проведения конкретных мероприятий по защите информации.

4. Систематизация всех проводимых на плановой основе мероприятий по различным направлениям защиты информации ограниченного распространения.

5. Установление системы контроля за обеспечением защиты информации на предприятии, а так же, системы отчетности о выполнении конкретных мер.

6. Уточнение функций и задач, решаемых отдельными должностными лицами и структурными подразделениями предприятия.

Основой для планирования служат требования документов:

1. Законодательных и других нормативно-правовых актов по защите КИ, соответствующих нормативно-методических документов органов гос.власти, вышестоящей организации, а при планировании мероприятий по защите филиалом или представитеством предприятия, указаний головного предприятия.

2. Требования заказчиков проводимых совместных работ в соответствии с контрактом.

3. Положения международных договоров или соглашений, определяющих участие предприятия в тех или иных формах международного сотрудничества.

4. Положение внутренних докуменв предприятия - приказы, директивы и т.д., определяющих порядок ведения производственной и другой уставной деятельности, а так же, конкретизирующих вопросы защиты информации ограниченного распространения на предприятии.

5. Результаты комплексного анализа состояния дел в области ЗИ, который проводится службой безопасности, на основании материалов проверок структурных подразделений филиалов или представительств предприятий.

6. Результаты проверок состояния защиты информации, проведенных вышестоящими организациями, соответствующими государственными органами или заказчиками работ. Приэтом учитываются выработанные на основании проверок рекоммендации и предложения.

7. Результаты контроля за состоянием защиты информации, проводимого подразделениями ФСБ РФ или другими органами - ФСТЭК, РосНадзор и т.д.

8. Особенности повседневной деятельности предприятия и специфика выполнения работ с использованием информации ограниченного распространения различных видов - конфиденциальности или секретности.

Планирование мерориятитй по щашите информации ограниченного распространения проводится одновременно с планированием основной, производственной и другой деятельности предприятия. Планирование может осуществляться на год, месяц, неделю, а так же на другой срок, который обусловлен проведенеим важных мероприятий, который установлен поивидам уставной деятельности(если он связан с вопросами информации ограниченного распространения).

При этом, планы мерпориятий, разрабатываемыз на год и более относятся, как правило, к стратегическому планированию, остальные планы решают тактические задачи.

В целях эффективного решения задач по защите информации ограниченного распространения в рамках наиболее важных и масштабных работ, могут разрабатываться отдельные планы, которые носят характер программно-целевого планирования. Так же, отдельные планы разрабатфваются при реализации на предприятии федеральных, целевых, государственных, ведомственных и других крупных программ. Такими программами могут быть программы реконструкции предприятия, программы внедрения инновационных технологий, программы внедрения новых ИТ и т.д.

Планы мероприятий по защите информации относятся к документам с ограниченным доступом, учитываются и хранятся в СБ или режимном подразделении. Порядок хранения определяется соответствующей степенью конфиденциальности или секретности.

Разработка планирующих документов по защите осуществляется СБ или режимным подразделением. Приэтом, обеспечивается тесное взаимодействие с заинтересованными подразделениями и должностными лицами, которые решают задачи непосредственно касающиеся вопросов защиты инфориации(служба охраны, подразделение ПД ТР, кадровый орган и т.д.).

Кроме того, приподготовке плана учитываются предложения подразделений, которые занимаются иной деятельностью.

От полноты и качества разработки планирующих документов в полной мере зависит эффективность проведения мероприятий, направленных на исключение утечки конфиденциальной информации, утрат ее носителей, а так же возникновения предпосылок подобных происшествий.

Структура и основное содержание плана мероприятий по ООИБ.

Основным организационно-планирующим документом по ООИБ является план мероприятий по защите конфиденциальной информации на год.

Данный план всесторонне отражает мероприятия по защите информации в ходе уставной деятельности фирмы в течение календарного года.

При подготовке такого плана учитываются вновь принятые нормативно-правовые акты и методические документы по защите информации, действующие приказы и текущие указания вышестоящих органов гос.власти и организаций. План мероприятий утверждается руководителем предприятия до начала года, на который он разрабатывается.

При необходимости, план согласовывается с соответствующим органом безопасности. Утвержденный план подрасписку доводится до сведения заместителей руководителя предприятия, руководителей структурных подразделений и отдельных должностных лиц, которые отвечают за проведение указанных в планах мероприятий. Типовой план мероприятий по защите конфиденциальной информации на год содержит следующие основные разделы:

1. Организаторская работа менеджмента предприятия.

1. Разработка организационно-планирующих документов в ходе уставной деятельности предприятия, при выполнении всех работ.

2. Доклады и донесения о состоянии защиты информации, представляемые вышестоящие органы и организации.

3. Подготовка и сдание приказов руководителя предприятия по различным вопросам в сфере защиты.

4. Переработка и уточнение должностных регламентов и должностных обязанностей.

2. Подготовка персонала по вопросам защиты информации.

1. Организация и проведение занятий со всеми категориями сотрудников предприятия с учетом специфики выполняемой ими работы.

2. Изучение положений нормативно-методических документов в области защиты информации

3. Порядок доведения требований таких документов до сведения сотрудниковпод расписку.

4. Принятие зачетов и проведение занятий свновь прибывшими или назначенными на должность сотрудниками.

5. Мероприятия по обучению сотрудников предприятия в образовательных учреждениях.

3. Контроль защиты информации и наличия носителей и информации ограниченного распространения.

1. Организация и проведение всех видов проверок состояния защиты информации и наличия носителей конфитденциальной информации. Особое внимание уделяется планированию проводимых поиокончанию календарного года мероприятий по проверке наличия носителей информации ограниченного распространения. Если предприятие работает со сведениями, составляющими ГТ, то проверки осуществляются в соответствии со сроками, определенными норматиыными документами по обеспечению режима секретности. Если предприятие имеет филиалы или подчиненные организации, то в головном предприятии планируется проверки этих филиалов.

4. Допуск и доступ персонала к конфиденциальной информации и ее носителям.

1. Мероприятия, касающиеся разработки, переработки исогласования номенклатуры должностей работников предприятия, подлежащий оформлению надопуск к сведениям, составляющим ГТ.

2. Вопросы оформления или переоформления материалов на допуск к ГТ сотрудников предприятия, в т.ч.контрактов, трудовых договоров и карточек о допуске.

3. Разработка и переработка списка лиц, допускаемых к конфиденциальной информации, а так де списков, допускаемых к конкретным материалам проводимых работ.

4. Мероприятия, направленные на разграничение доступа к носителям информации ограниченного распространения, в зависимости от степени их секретности или кгнфитденциальности, а также, в зависимости от тематики работ.

При необходимости, отдельным пунктом отражаются вопросы организации учета осведомленности лиц в сведениях ОВ и СС с подготовкой соответствующих заключений.

5. Организация и ведение конфиденциального делопроизводства.

1. Мероприятия, непосредственно касающиеся деятельности СБ или режимного подразделения.

2. Мероприятия поифункционированию сощдаваемых на предприятии комиссий по отбору конфиденциальных документов и материалов для уничтожения, пересмотру степени секретности или конфиденциальности документов(ПДЭК - постоянно действующая экспертная комиссия).

3. Порядок инструктожа лиц, убывающих с носителями информвции ограниченного распространения за пределы предприятия.

4. Порядок учета, хранения, размножения, приема, передачи и уничтожения носителей конфиденциальной информаии.

5. Порядок работы с такими носителями сотрудников предприятия.

6. Защита информации при осуществлении рекламной и прубликаторской деятельности.

1. Мероприятия, связанные с работой ПДЭК по принятию решений о возможности публикации научных материалов и информации о деятельности предприятия.

2. Порядок использования этих материалов для проведения рекламных акций.

3. Порядок подготовки материалов, разработанных сотрудниками к открытому опубликованию.

7. ЗИ при использовании ТС.

1. Организационные мероприятия по подготовке к вводу в эксплуатацию объектов информатизации, обрабатфвающих информацию с ограниченным доступом

2. Вопросы технической защиты информамции.

3. Меры по защите информации от НСД и утечки по техническим каналам.

4. Работа должностных лиц по ПДТР.

5. Меры по предотвращению утечки информации при использовании средств открытой связи.

8. ЗИ входе осуществления международного сотрудничества.

1. Меропричтитя по защите информации при подготовке и реализации международныз договоров и других документов.

2. Мероприятия при приеме иностранных делегаций.

Планируемые мероприятия предусматриваются с учетом распределения функций по защите информации между структурными подраелениями и должностными лицами.

9. ООИБ при выезде за границу сотрудников, допущенных к конфиденциальной информации.

1. Для предприятий, работающих с ГТ, планирование осуществляется в строгом соответствии с федеральным законом 'о порядке выезда из РФ и въезда в РФ', "О ГТ" и другие нормативно-правовые акты РФ в области защиты ГТ.

Планируемые мероприятия не должны быть направлены на ограничение прав сотрудников предприятия, допущенных к конифтденциальной информации

10. ЗИ при выполнении совместных и других работ.

1. Мероприятития, направленные на исключение утечки конфитденциальной инфорции при участии предприятия в выполнении совместных и других работ, предусмотренных уставом.

2. Порядок и условия отражения в договорах(контрактах) вопросов защиты информации вопросов защиты информации, а так же, содержание соответстющих пунктов указанных договоров.

3. Мероприятия по защите ГТ в ходе деятельности конкурсных комиссий по выбору исполнителей работ.

При участии предприятия в выполнении работ гос.оборон.заказа, должны быть отмечены особенности этих работ. Если предприятие выступает в роли заказчика или головного исполнителя, то необходимо отразить мероприятия по контролю эффективности защиты исполнителями этих работ той конфиденциальной информации, которая передается в качестве исходных данных.

5. При выполнении предприятиеммраьот с использованием сведений ГТ, в данном разделе предусматриваются все мероприятия, которые определны статьей 17 закона "О ГТ".

11. ЗИ о чрезвычайных ситуациях.

1. Порядок формирования, задачи и основные направления деятельности внештатного подразделения, т.е. спец.комиссии, создаваемой проиказом руководителя предприятия в целях выработки мер по предупреждению ЧС, а так же, мер по защите информации при ЧСП.

Под ЧС следует понимать сложившуюся в силу воздействия различных факторов обстановку на объекте предприятия, которая может повлечь утечку конфиденциальной информации, утрату, хищение или несанкционированное уничтожение носителей этой информации.

2. Практические меры, направленные на недопущение нанесения ущерба ИБ фирмы в следствие ЧСП, в т.ч. на предотвращение утечки защищаемой информации, утраты, хищения или несанкционированного уничтожения носителей конфиденциальной информации.

3. Анализ потенциальных угроз и различных факторов, приводящих к возникновению на предприятии ЧСП.

Особое внимание в этом разделе уделяется вопросам координации действий всех структурных подразделений и должностных лиц, участвующих в решении задач защиты в условиях ЧСП.

При планировании мероприятий по защите учитываются все возможные виды и способы проявления ЧСП.

4. Мероприятия по защите информции при возникновении ЧСП отражаются в соответствующих планах предприятия и его подразделений на календарный месяц. С этой целью в данном разделе или в отдельном приложении к плану указываются следующие сведения:

1. ФИО, домашний адрес, телефоны каждого сотрудника, принимающего участие в ликвидации последствий ЧСП на предприятии.

2. Очередность и порядок вызова всех сотрудников, участвующих в выполнении работ по ликвидации последствий ЧСП, в зависимости от вида ЧСП. Так же, указываются сроки прибытия этих сотроудникьв на объекты.

3. Обязанности каждого сотрудника предприятия и последовательность выполнения им работ в соответствии с конкретным планом действий.

4. Перечень сил и средств, в т.ч. транспорта и средств связи, которые привлекаются к решению задач ликвидации последствий ЧСП.

5. Места стоянки и мамршруты движения транспортных средств, эвакуирующих носители конфиденциальной информации, вт.ч. крупногабаритные.

6. Маршруты эвакуации носителей конфиденциальной информации, места их сосредоточения, способы и порядок охраны эвакуированных носителей и првлекаемые для этого силы и средства.

12. Организация пропускного режима и охраны объектов предприятия.

1. Организационные мероприятия по созданию и совершенствованию системы пропускного режима и охраны - подготовка приказов о вводе в действие и выводе из действия всех видов пропусков, о назначении ответственных должностных лиц, порядок разработки и переработки инструкций и положений по охране, мероприятия по материально-техническому обеспечению, установке и эксплуатации ТС охраны.

13. Организация аналитической раьоты на предприятии.

1. Все виды обзоров и отчетов о состоянии дел в области ЗИ на предприятии, оформляемые для вышестоящих инстанций.

2. Обзоры и отчеты о состоянии защиты информации для руководства предприятия.

3. Мероприятитя по формированию материалов, содержащих итоги работы предприятия и его структурных подразделений в области защиты информации для изучения еми сотрудниками.

Особое место в разделе занимают аналитические расчеты по итогам календарного месяца и календарного года, которые готовит СБ или режимное подразделение.

14. Другие мероприятия.

1. В случае изменяющейся в течение года внешней или внутренней бизнес-обстановки, разрабатываются другие мероприятия, которые не вошли в другие разделы

Особое внимание при разработке и реализации плана уделяется роли руководителей структурных подразделений предприятия, которые отвечают персонально за обеспечение ЗИ подчиненных и подразделения.

Контроль за выполнением конкретных меропричтий, включенных в данный план осуществляют:

1. Руководитель предприятия

2. Его заместитель, который отвечает за защиту информации ограниченного распространения

Текущий контроль за практической реализацией мероприятий плана выполняет СБ(режимное подразделение), которое информирует руководство о выполнении включенных в план мероприятий.

Порядок разработки плана по защите информации ограниченного распространения при приеме на предприятии иностранных представителей.

Такой план разрабатывается СБ и заинтересованными подразделениями. Он согласовывается со всеми службами, которые будут участвовать в приеме.

Подготовка плана должна осуществляться заблаговременно в тесном взаимодействии с соответствующим органом ФСБ РФ. Содержание плана должно включать в себя вопросы по защите всех видов информации ограниченного распространения, с которыми работают на предприятии.

Мероприятия по защите планируют поэтапно:

1. До начала приема иностранных представителей.

2. Во время приема иностранных представителей.

3. После приема.

В отношении каждого пункта плана указыватся следюующие сведения:

1. Ответственные должностные лица.

2. Срок выполнения.

3. Характерные особенности мероприятия.

Контроль за выполнением этих мерпоятий осуществляет заместитель руководеля предприятия, коттррый отвечает за вопросы защиты информации, а так же руководитель службы безопасности.

На СБ или режимное подразделение кроме организации и планирования мероприятий возлагается ответственность по координации деятельности должностных лиц и подразделений, которые принимают участие в подготовке и приеме иностраннгых представителей.

Так же, СБ осуществляет функции поэлементного контроля.

Руководитель предприятия предоставляет сотрудникам СБ полномочия по принятию оперативных решений, направленных на строгое и точное выполнение всеми сотрудниками треьований нормативно-методических документов по защите конфиденциальной информации, а так же документов, регламентирующих вопросы организации приема.

Кроме того, руководитель предоставляет полномочия СБ по принятию доп.мер, направленных на предотвращение утечки.

До начала приема иностранных представителей предприятие, на территории которого планируется прием, разрабатывает программу приема и пребывания иностранной делегации.

В программу включаются все планируемые мероприятия, определяется срок и место их проведения, должностные лица и структурные подразделения, которые отвечают за проведения.

Накануне приема СБ разрабатывает списки сотрудников, которые уполномочены участвовать в приеме иностранных представителей. Списки разрабатываются на год, перед утвержлением руководителем предприятия эти списки согласовываются с органом безопасности. Работники предприятия, допущенные к конфитденциальной информации, к правило, в эти списки не включаются и в проведении мероприятий по приему участие не принимают.

В исключительных случаях, их участие допускается в решение отдельных вопросов, но при этом не раскрываются сведения об их принадлежности к структурному подразделению штатными сотрудниками которого они являются. Так же, не раскрывается наличие у них допуска к конфденциальной информации.

Если обстановка требует участия этих лиц в приеме, то этот факт требует согласования с органом безопасности.

К мероприятиям, которые связаны с приемом иностранных представителей, в т.ч. участие в переговорах, могут привлекаться сотрудники взаимодействующих предприятий. Для этого руководитель взаимодействувющего предприятия направляет ходатайство с указанеим конкретных должностных лиц. Этот список так же согласуется с ФСБ.

На этапе непосредственного приема защита информацииограниченного распространения осуществляется в соответствии со специально разработанной инструкцией, которая согласуется с ФСБ.

После приема спец.комиссией осуществляется проверка всех помещений и транспорта, которые посещали иностранные представители.

Организационное обеспечение допуска предприятий к проведению работ со сведениями, составляющими ГТ.

Основные положения допуска предприятий к деятельности с использованием сведений, составляющих ГТ.

Допуск к ГТ - процедура оформления права граждан на доступ к сведениям, составляющих ГТ, а предприятий, учреждений и организаций - на разрешение к проведению работ с использованием ГТ.

Предприятие, планирующее выполнять работы с использованием сведений, составляющих ГТ, а так же заниматься деятельностью по защите указанных сведений обязано получить лицензию на соответствующий вид деятельности. Порядок получения такой лицензии установлен нормативно-правовыми актами и нормативно-методическими документами - НПА и НМД, устанавливаемыми правительством РФ. Токо после получения лицензии на проведение работ со сведениями соответстющей степени секретности предпричтия могут заниматься такой деятельностью.

В области защиты ГТ для предприятий законодательством установлены следующие виды деятельности, подлежащие лицензированию:

1. Проведение работ, связанных с использованием сведений, составляющих ГТ.

2. Проведение раьот, связанных с осуществлением мероприятий и/или оказанием услуг по защите ГТ.

3. Проведение работ, связанных со зданием СЗИ.

Под СЗИ понимается:

1. Технические, криптографические, программные и другие средства, предназначенные для защиты инфгрмации, составляющей ГТ.

2. Средства, в которых они реализованы.

3. Средства контроля эффективности защиты информации.

Порядок организации и проведения работ по лицензированию перечисленных видов деятельности определен специальным положением о лицензировании деятельности в сфере защиты ГТ - ПП от 15.04.1995 #333. Данное положение устанавливает порядок лицензирования дечтельности предпричтий, учреждений, организаций, независимо от их организационно-правовых форм - предприятие - по следующим видам деятельности:

1. Проведение работ, свчзанных с использованием сведений, составляющих ГТ.

2. Создание СЗИ.

3. Осуществление мероприятий и/или оказание услуг по защите ГТ.

Лиценгзия является официальным документом, который разрешает осуществление на определенных условиях конкретный вид деятельности в течение установленного срока. Лицензич действительна на всей территории РФ, а так же в учреждениях РФ за границей.

Выдают лицензии следующие органы:

1. По допуску предпричтий к проведению работ, свчзанных с использованием сведений, составляющих ГТ - ФСБ РФ, ее территориальные органы на территории РФ, СВР РФ - за руюежом.

2. На право проведения работ, связанных с созданием СЗИ - ФСТЭК РФ, СВР РФ, МинОбороны РФ, ФСБ РФ, в пределах их компитенции.

3. На право осуществления мероприятий и/или оказание услуг в области защиты ГТ - ФСБ РФ и ее территориальные органы, ФСТЭК РФ,СФР РФ - в пределах их компитенции.

Лицензирование деятельности предприятий ФФСБ, минОбороны, СВР, ФСТЭК по допуску к проведению работ, свсязанных с использованием сведений, составляющих ГТ, а так же с осуществленеим мероприятий и/или оказанием услуг по защите ГТ осуществляется руководителями министерств и ведомств, которым подчинены эти предприятия.

Лицензия на проведение указанных работ выдается на основании следующих результатов:

1. Специальная экспертиза предприятия, учредления или организации.

2. Государственной аттестации их руководителей, ответственных за защиту сведений, составляющих ГТ.

Расходы на экспертизу и аттестацию относят на счет предприятия, получающего лиценгзию.

Лицензия на проведение работ с использованием сведений, составляющих ГТ выдаетсч предприятичм при выполнении ими условий:

1. Выполнение требований нормативно-правовых актов и НМД, утверождаемых правительством по обеспечению защиты сведений, составляющих ГТ в процессе выполнения работ, свчзанных с использованием этих сведений.

2. Наличие в структуре предприятия подразделений по защите ГТ и специально подготовленных сотрудников по защите информации, количество и уровень квалификации которых достаточный для обеспечения защиты ГТ.

3. Наличие на предприятии сертифицированных СЗИ.

Порядок сертификации СЗИ.

СЗИ должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Степень секретности сведений, составляющих ГТ должна соответствовать степени тяжести ущерба, котррый может быть нанесен безопасности РФ в следствие распространения указанных сведений.

Устанавливается три степени секретности и соответствующие этим степеням грифы:

1. ОВ - сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной, оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам РФ в одной или нескольких из этих областей.

2. СС - сведения в тех же областях, ущерб министерству, ведомтству или отрасли экономики в этихобластях.

3. С - иные сведения ГТ. Ущерб интересам предприятия, учреждения, организации в областях выше.

Порядок определения размера ущерба, который может быть нанесен безопасности РФ в следствие распространения ГТ и правила отнесения указанных сведений к той или иной степени секретности устанавливается правительством.

Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к ГТ не допускается.

Гриф секретности - реквизиты, свидетельстющие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и/или в сопроводительной документации на него.

Оршанизация сертификации СЗИ возлагается на ФСТЭК, ФСБ, МинОбороны, в соответствии с функциями, возложенными на них законодательством.

Сертификация осуществляется на основании требований Гос.Стандартов РФ и других нормативных документов, утверждаемых правительством.

С этой целью постановлением правительства РФ от 26.06.1995 #608 утверждено положение о сертификации СЗИ. Данное положение устанавливает порядок сертификации СЗИ в РФ и ее учрежлениях за рубежом. СЗИ подвергается обязательной сертификации.

При этом, криптографические средства должны быть отечественного производства и выполнены на основе криптографических алгооритмов, рекоммендованных ФСБ РФ.

Система сертификации СЗИ представляет собой совокупность участников сертификации, осуществляющих ее по устанровленным правилам.

Системы сертификации создаются ФСТЭК, ФСБ и МинОбороны. Эти органы уполномочены проводить работы по сертификации СЗИв пределах своей компитенции, определенной законодательством.

Сертификация СЗИ осуществляется на основании треьований ГосСтадартов, норматиыных докуменв, утверождаемых правительством и федеральными органами поисертификации в пределах их компитенции.

В каждой системе сертификации разрабатываются и согласовываются с МВК ГТ положения об этой системе сертификации, а так же перечень СЗИ, подлежащий серттификации и требования, которым эти средства должны удовлетворять.

На сайтах ФСБ, ФСТЭК и тд приведены перечни сертифицированных СЗИ.

Координация раьот по организации сертификации СЗИ осуществляет МВК ГТ.

Назначение, состав и структура МВК ГТ.

Медведомственная комиссия - коллегиальный орган, координирующий деятельность федеральных органов власти и органов власти субъектов федерации по защите ГТ в интересахиразработки и выполнения государственных программ, нормативно-правовых актов и методических документов, обеспечивающих реализацию федерального законодательства о ГТ. Руководит деятельностью МВК президент.

Структура МВК ГТ утверждена указом президента и входят следующие должностные лица:

1. Председатель МВК - назначается на должность и освобождается с должности президентом, подотчетен ему.

2. Зам.председателя МВК.

3. Ответственный секретарь МВК

4. Члены МВК

5. Структурные подразделения центрального аппарата ФСТЭК (на него возложено организационо-техническое обеспечение деятельности МВК).

6. Межведомственные, рабочие и экспертныемгруппы по направлениям деятельности.

Алгоритм работы лицензирующего органа.

На орган, уполномоченный на ведение лицензионной деятельности возлагшаются следующие функции:

1. Организация лицензированич деятельности предприятия.

2. Организация и проведение специальных экспертиз предприятий.

3. Рассмотрение заявлений предприятий о выдаче лицензий.

4. Принятие решений о выдаче или об отказе в выдаче лицензии.

5. Выдача лицензии.

6. Принятие решений о приостановлении действия лицензии или о ее аннулировании.

7. Разработка НМД по вопросам лицензирования.

8. Привлечение в случае необходимости представителей министерств и ведомств РФ для проведения специальнгых экспертиз.

9. Ведение реестра выданных, приостановленных и аннулированных лицензий.

Для получения лиценгзии заявитель представляет в соответствующий орган, уполномоченный на ведение лицензионной деятельности следующие документы:

1. Заявление о выдаче лицензии - должно быть указано:

1. Наименование и организационно-правовая форма, местонахождение предприятия, адреса мест осуществления лицензируемого вида деятельности, номер расчетного счета в банке и наименование бака

2. Вид деятельности, на осуществление которого должна быть выдана лиценгзия.

3. Срок действия лицензии.

4. Степень секретности сведений, составляющих ГТ,с которыми заявитель предполагает осуществлять работы - степень должна быть подтверождена органом гос.власти или оргаизацией, которые наделены полномочиями по распоряжению указанными сведениями.

2. Копии учредительных документов.

3. Копии документа, подтверждающего факт внесения записи об ЮЛ в единый гос.реестр ЮЛ.

4. Копии документов, подтверождающие право собственности или иное законное основание на владение и использование имущества, необходимого для осуществления заявленного вида деятельности на срок действия лицензии.

5. Копию свидетельства о постановке на налоговый учет в налоговом органе.

6. Документ, подтверождающий уплату гос.пошлины за предоставление лицензии.

7. Сведения о наличии допуска к ГТ у руководителя предприятия, а так же сведения о наличии в уставном капитале предприятия доли иностранно-физических или юридических лиц - при подаче заявления о предоставлении лиценгзии на пведение работ, свсязанных с использованием сведений, составляющих ГТ.

8. Копия догоовора об оказании услуг - в случае использования заверителем услуг структурным подразделением по защите ГТ другой организации.

Орган, уполномоченный на ведение лиценгзионной деятельности принимает решение о выдаче или об отказе в выдаче лицензии в течение 30 дней со дня пучения заявления с документами. Если необходима доп.экспертиза, то решение принимается в 15-дневный срок после получения заклбючения экспертизы, ноине позднее чем через 60 дней со дня подачи заявления.

В зависимости от сложности и объема спец.экспертизы, руководитель лицензирующего органа может продлить сроки принятия решения о выдаче или об отказе в выдаче до 30 дней.

Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не более чем на 5 лет. По просьбе заявителя можетивыдаваться на срок менее 5 лет.

Продление срока лицензии проводится в порядке, установленном для получения. Предприятие может иметь несколько лиценгзий.

Если лиценгзируемиый вид деятельности осуществляется по нескольким адресам, то филиалы предприятия по этим адресам должны подвергатьтся спец.экспертизе.

Лицензии оформляются на бланке, имеющим степень защиты на уровне защиты ценной бумаги. Копия лицензии хранится в лицензирующем органе.

Организационное обеспечение проведения государственной аттестации руководителей предприятия.

Государственную аттестацию руководителей предприятия организуют лицензирующие органы, а так же органы гос.власти РФ, руководители которых наделены полномочиями по отнесению к ГТ сведений, касающихся деятельности подведомственных им предпричтий.

Го/ударственную атте тацию руководителей так же организуют:

1. ФСБ РЯ и ее территориториальные органы

2. ФСТЭК

3. Органы гос.власти, руаоводители которых наделены полномочиямипо отнесению сведений к ГТ - в проеделах компитенции.

Методические рекоммендации поиорганищации и провелению гос.аттестации руководителец предпричтия разрабатывает и утверждает МВК ГТ - решение МВК от 13 марта 96г. #3.

Расходы по гос.аттестации относятся на счет предпричтия.

Уполномоченный гос.орган может разрабатывать положенияо государственной аттестации руководителей предприятий, ответственных за защиту ГТ с учетом специфики.

Государственная аттестация руководителей проводится для оценки уровня их знаний, которые необходимы для организации на предприятии защиты сведений, составляющих ГТ. Государственная аттестация проводится методом собеседования. Как правило, аттестацию осуществляю аттестационная комиссия, специано для этого созданная.

Аттестованное лицо должно знать:

1. Основные требования НМД по режиму секретности,ПД ТР, защите информации от утечки по техническим каналам и условия выполнения этих требований.

2. Порядок организации защиты ГТ на проедприятии.

3. Результаты гос.аттестации включают в акт экспертизы или оформляют отдельным актом, который представляют экспертной комиссии при проведении экспертизы предприятия.

Результаты аттестации учитываются при принятии решения о выдаче предприятию лицензии на проведение работ, связанных с использованием ГТ.

При освобождении от занимаемой должности вновь назначенный руководитель должен пройти гос.аттестацию не позднее 3месячного срока после его назначения на эту должность.

От государственной аттестации освобождаются руководители предприятий, имеющихъе свидетельства об окончании учебных заведений, которые уполномочены осуществлять подготовку специалистов по вопросам защиты информации, составляющих ГТ. Перечень утверждается МВК ГТ.

В настоящее время действует перечень от 28 октября 98г. #41.

На основании постановления правительства от 18 октября 2000г.#796 определен порядок работы олбразовательного учреждения, имеющего намерения осуществлять подготовку повышения квалификации или переподготовку специалистов по защите ГТ.

Такое образовательное учреждение должно иметь лиценгзию ФСБ на проведение работ, свчзанных с использованием ГТ, а так же, программу обучения, которая должна быть согласована с ФСБ и ФСТЭК. Такая программа утверждается федеральным органом исполнительной власти в ведении которого находится образовательное учреждение.

Органы, уполномоченныеина веденеи лицензионной деятельности приостанавливают действие лицензии или аннулируют ее в следующих случачх:

1. По заявлению лицензиата

2. Обнаружение недостоверных данных в документах, представленных для получения лицензии.

3. Нарушение лицензиатом условий действия лицензии.

4. Невыполнение лицензиатом предписаний или распоряжений гос.органов или приостановление этими органами уставной деятельности предприятия в соответствии с законодательвом.

5. Ликвидация предприятия.

Орган, выдавший лицензию в трехдневный срок со дня принятия решения о приостановлении действия или аннулировании лицензии в письменной форме уведомляет об этом лицензиата и органы гос.налоговой службы. Действие лицензии приостанавливается со дня получения лиценгзиатом указанного уведомления.

После полуыения извещения об аннулированиию, лицензия подлежит возврату в десятидневный срок.

Организационное обеспечение предоставления социальных гарантий гражданам, допущенным к ГТ на постоянной основе и сотрудникам структурных подразделений по защите ГТ.

Предоставление соц.гарантий осуществляется в соответствии со статьей 4 закона о ГТ. Данной статьей установлено, что финансирование расходов осуществляется за счет средств федерального бюджета.

Постановлением правительства от 18 сентября 2006г. #573 "О предоставлении социальных гарантий гражданам допущенные к гос.тайне на постоянной основе и сотрудникам структурных подразделений по защите ГТ" установлены следующие меры:

1. Ежемесячная процентная надбавка к основному окладу граждан допущенных к государственной тайне на постоянной основе в зависимости от степенимсекретности, к которой граждане имеют документально подтверждаемый доступ на законном основании. Размер ежемесячной процентной нгадбавки:

1. ОВ - 50-75%

2. СС - 30-50%

3. С - 10-15%(с проведением проверочных меропричтий)

5-10% - без проведения их.

При опроеделении размера ежемесячной надбавки учитывается объем едений, к которым указанные граждане имеют доступ, а так же продолжительность срока, в течение которого сохраняется актуальность засекречивания этих сведений. Надбавка выплачивается за счет утвержденного фонда оплаты труда.

2. Сотрудникам по защите ГТ дополнительно к надбавке выше выплачивается специальная надбавка за стаж работы в указанных структурных подразделениях.

1. 1-5 лет - 10%

2. 5-10 лет - 15%

3. 10+ лет - 20%

В стаж работы работников структурных подразделений по защите ГТ дающий право на получение этой нгадбавки ыключается время работы в структурных подразделениях по защите ГТ других органов власти, а так же органов местного самоуправления и организаций.