Информационная безопасность
.pdf5.После получения из машинописного бюро отпечатанных документов проверять их наличие.
6.Получать документы с грифом КТ лично в канцелярии, своевременно знакомиться с полученными документами и разборчиво расписываться на них с указанием даты.
7.Иметь внутреннюю опись документов с грифом КТ и немедленно вносить в нее все полученные документы, хранить их только в рабочей папке, а при выходе в рабочее время из помещения рабочую папку запирать в сейф.
8.По окончании работы своевременно сдавать документы
âканцелярию.
9.Об утрате или недостаче документов с грифом КТ, ключей от сейфов, личных печатей немедленно сообщать в службу безопасности.
10.При увольнении, уходе в отпуск своевременно сдавать все числящиеся за ними документы.
11.Знакомить представителей других учреждений с грифованными документами с ведома и письменного разрешения руководителя подразделения.
12.Документы с грифом КТ во время работы располагать так, чтобы исключить возможность ознакомления с ними других лиц.
13.По первому требованию отдела службы безопасности предъявлять для проверки все числящиеся за ними документы с грифом КТ [4].
Организация контроля обеспечения режима при работе со сведениями, содержащими коммерческую тайну
Контроль обеспечения режима при работе с материалами с грифом КТ осуществляет служба безопасности и руководители структурных подразделений.
Проверки проводятся не реже одного раза в год комиссиями. Проверяющие имеют право знакомиться со всеми документами и другими материалами.
В случае установления факта утраты документов с грифом КТ немедленно ставится в известность директор, его заместители и начальник отдела службы безопасности [4].
– 111 –
Организация работы с кадрами
Опыт показывает, что сохранность секретов предприятия на 80 % зависит от правильного подбора, расстановки, обучения и воспитания кадров.
Организационные мероприятия по работе с сотрудниками включают в себя:
-беседы при приеме на работу (о неразглашении коммер- ческих секретов);
-ознакомление с правилами и процедурами работы с конфиденциальной информацией (подписка о сохранении КТ);
-обучение сотрудников правилам и процедурам работы с конфиденциальной информацией в соответствии с их должностными обязанностями;
-систематический контроль за соблюдением требований защиты КТ;
-беседы с увольняющимися (возможна подписка о неразглашении) [4].
Памятка работнику (служащему) о сохранении коммерческой тайны
Работник (служащий) обязан строго хранить в тайне сведения, отнесенные к КТ фирмы.
КТ определяется руководителем фирмы и отражается в перечне сведений, составляющих КТ фирмы.
Порядок обращения со сведениями, отнесенными к КТ фирмы, регулируется Положением по обеспечению сохранности КТ предприятия.
Работник обязан работать только с теми сведениями и документами, к которым он получил доступ в силу служебных обязанностей.
Запрещается помещать без необходимости сведения, составляющие КТ фирмы, в документы, содержащие государственные секреты и имеющие в связи с этим гриф секретности. Такое нарушение рассматривается как их разглашение и влечет за собой ответственность в установленном законом порядке.
Об утрате или недостаче документов с грифом КТ, ключей от сейфов, личных печатей, пропусков, удостоверений немедленно сообщать руководителю структурного подразделения и в службу безопасности.
– 112 –
При увольнении, уходе в отпуск, отъезде в длительную командировку своевременно сдавать числящиеся за работниками носители КТ фирмы.
Работник обязан по первому требованию канцелярии и отдела службы безопасности предъявлять для проверки все числящиеся за ними документы с грифом КТ, предоставлять письменные и устные объяснения о нарушениях установленных правил выполнения закрытых работ, учета и хранения документов.
В случае попытки посторонних лиц или организаций, в том числе зарубежных, получить информацию, составляющую КТ фирмы, работник обязан сообщить об этом руководителю структурного подразделения и в службу безопасности.
Обязательства, связанные с защитой КТ фирмы, не ограничивают прав работника на интеллектуальную собственность, в частности, на подачу заявки на изобретение, возможное патентование и т. д.
Срок действия ограничений, связанный с необходимостью защиты КТ фирмы, определяется администрацией при заключе- нии трудового договора с работником [4].
16. О ГОСУДАРСТВЕННОМ
Л И Ц Е Н З И Р О В А Н И И |
Д Е Я Т Е Л Ь Н О С Т И |
|
В О Б Л А С Т И |
З А Щ И Т Ы |
И Н Ф О Р М А Ц И И |
Деятельность системы лицензирования организуют государственные органы по лицензированию, которыми являются Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) и Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).
Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств ЗИ, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, утверждено Постановлением Правительства РФ от 15 апреля 1995 г. ¹ 333 [2].
– 113 –
Лицензия на право деятельности по ЗИ (далее — лицензия) выдается предприятию по представлению органа государственной власти Российской Федерации государственным органом по лицензированию на конкретные виды деятельности на срок до трех лет, по истечении которого осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.
Организационную структуру системы государственного лицензирования деятельности предприятий в области ЗИ образуют:
-государственные органы по лицензированию;
-лицензионные центры;
-предприятия-заявители.
Государственные органы по лицензированию в пределах своей компетенции осуществляют следующие функции:
-организуют обязательное государственное лицензирование деятельности предприятий;
-выдают государственные лицензии предприятиям-заяви-
телям;
-осуществляют научно-методическое руководство лицензионной деятельностью;
-утверждают перечни лицензионных центров;
-согласовывают составы экспертных комиссий, представляемые лицензионными центрами;
-осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области ЗИ;
-обеспечивают публикацию необходимых сведений о лицензионной деятельности;
-рассматривают спорные вопросы, возникающие в ходе экспертизы предприятия-заявителя.
Лицензионные центры могут создаваться при государственных органах по лицензированию, в регионах и отраслях промышленности (ведомствах) Российской Федерации.
Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Отраслевые лицензионные центры создаются совместными решениями руководителей комитетов (министерств) и соответствующих государственных органов по лицензированию. Региональные лицензионные центры создаются совместными решениями органов регионального управления и соответствующих государственных органов по лицензированию. Организация взаимодей-
–114 –
ствия отраслевых, региональных лицензионных центров с соответствующими органами управления отражается в указанных решениях.
Лицензионные центры могут формироваться из состава специальных центров Гостехкомиссии России, центров правительственной связи ФАПСИ, отраслевых и региональных учреждений, предприятий и организаций по ЗИ.
Лицензионные центры осуществляют следующие функции:
-формируют экспертные комиссии и представляют их состав на согласование с руководителями соответствующих государственных органов по лицензированию и отраслей промышленности;
-планируют и проводят работы по экспертизе заявителей;
-контролируют полноту и качество выполненных лицензиатами работ;
-систематизируют отчеты лицензиатов и ежегодно представляют сводный отчет в соответствующие государственные органы по лицензированию;
-принимают участие в работе соответствующих государственных органов по лицензированию при рассмотрении спорных вопросов, возникающих в процессе экспертизы предприя- тия-заявителя, и фактов некачественной работы лицензиатов.
Перечень видов деятельности в области защиты информации, подлежащих лицензированию гостехкомиссией России
1.Сертификация; сертификационные испытания защищенных ТСПИ, технических средств ЗИ, технических средств контроля эффективности мер ЗИ, защищенных программных средств обработки информации, программных средств по требованиям безопасности, программных средств ЗИ, программных средств контроля защищенности информации.
2.Аттестация систем информатизации; АСУ; систем связи и передачи данных; технических средств приема, передачи и обработки, подлежащих ЗИ; технических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также помещений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных документов по безопасности информации и контроль защищенности информации в этих системах, технических средствах и помещениях.
–115 –
3.Разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСПИ, технических средств ЗИ, технических средств контроля эффективности мер ЗИ, защищенных программных средств обработки информации, программных средств ЗИ, программных средств контроля защищенности информации.
4.Проведение специсследований на ПЭМИН ТСПИ.
5.Проектирование объектов в защищенном исполнении.
6.Подготовка и переподготовка кадров в области ЗИ по видам деятельности, перечисленным в данном перечне.
Перечень видов деятельности в области защиты информации, подлежащих лицензированию в ФАПСИ
1.Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт шифровальных средств, предназначенных для криптографической ЗИ при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг по шифрованию информации.
2.Эксплуатация негосударственными предприятиями шифровальных средств, предназначенных для криптографической ЗИ, не содержащей сведений, составляющих государственную тайну.
3.Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации, а также закрытых (с помощью шифровальных средств) систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности.
4.Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание специализированных защищенных ТСПИ, технических средств ЗИ, технических средств контроля эффективности мер ЗИ, защищенных программных средств обработки информации, программных средств ЗИ, программных средств контроля защищенности информации, предназначенных для использования в высших органах государственной власти Российской Федерации.
–116 –
5.Проведение работ по выявлению электронных устройств перехвата информации в помещениях государственных структур на территории Российской Федерации.
6.Проведение работ по выявлению электронных устройств перехвата информации в технических средствах государственных структур на территории Российской Федерации.
7.Проведение специсследований на ПЭМИН, специализированных защищенных ТСПИ, предназначенных для использования
âвысших органах государственной власти Российской Федерации.
8.Проектирование в защищенном исполнении объектов высших органов государственной власти Российской Федерации.
9.Подготовка и переподготовка кадров в области ЗИ по видам деятельности, перечисленным в данном перечне.
К О Н Т Р О Л Ь Н Ы Е |
В О П Р О С Ы |
1.Основные законопроекты в области защиты режимов ограниченного доступа к информации.
2.Что такое ИБ.
3.Основные принципы государственной политики в области обеспечения информации.
4.Что такое информация?
5.Что такое информационная война?
6.Информационный канал и его составляющие.
7.Составные части теории ЗИ.
8.РЭР: виды, характеристики.
9.ОЭР: виды, характеристики.
10.Классификация (общая) каналов утечки информации.
11.Электромагнитные каналы утечки информации.
12.Электрические каналы утечки информации. Паразитные связи и наводки.
13.Устройство скрытого съема аудиовидеоинформации.
14.Способы и средства энергетического скрытия акусти- ческого сигнала.
15.Мероприятия по защите КТ.
16.Характеристики пассивных средств несанкционированного доступа.
–117 –
17.Исследование ПЭВМ на ПЭМИН (алгоритм).
18.ДП закладных устройств.
19.Классификация средств обнаружения излучений закладных устройств.
20.Классификация средств обнаружения неизлучающих закладок.
21.Аппаратура радиоконтроля.
22.Категории средств безопасности информации в сетях.
23.Обязанности лиц, допущенных к сведениям составляющих КТ.
24.Принципы контроля телефонных линий и цепей электропитания.
С П И С О К |
С О К Р А Щ Е Н И Й |
ÀÑ(Ó) — автоматизированные системы (управления). ÂÎËÑ — волоконно-оптические линии связи.
ÂÒÑÑ — вспомогательные технические средства и системы. Â× — высокочастотный.
ÄÍ — диаграмма направленности. ÄÏ — демаскирующие признаки. ÇÈ — защита информации.
ÈÁ — информационная безопасность.
ИЗТОО — инженерная защита и техническая охрана объектов. ÈÊ — инфракрасный.
ÈÒÇÈ — инженерно-техническая защита информации. ÊÇ — контролируемая зона.
ÊÒ — коммерческая тайна.
ËÀËÑ — лазерные акустические локационные системы. ËÂÑ — локальные вычислительные сети.
ÌÑÇÈ — макросистема защиты информации. ÌÝ — межсетевые экраны.
ÍÑÄ — несанкционированный доступ. Í× — низкочастотный.
ÎÁÈ — обеспечение безопасности информации. ÎÄ — обработка данных.
– 118 –
ÎÑ — операционные системы.
ÎÝÐ — оптико-электронная разведка.
ÏÀÐ — переотражающие антенные решетки. ÏÇÑ — приборы с зарядной связью.
ÏÎÈ — приемник оптического излучения.
ÏÝÌÈ(Í) — побочные электромагнитные излучения (и наводки).
ÐË — радиолокационный.
ÐËÑ — радиолокационные станции.
(Ð)ÐÒÐ — (радио-), радиотехническая разведка. ÐÒ — радиотехнический.
ÐÝÀ — радиоэлектронная аппаратура. ÐÝÐ — радиоэлектронная разведка.
ÒÊÓÈ — технические каналы утечки информации. ÒÑÎ — технические средства охраны.
ÒÑÎÈ — технические средства обработки информации. ÒÑÏÈ — технические средства приема, обработки, хране-
ния и передачи информации.
ÒÑÐ — технические средства разведки. ÓÍ× — усилители низкой частоты. ×Ì — частотно-модулированный. ÝÄÑ — электродвижущая сила.
ÝÌÈ — электромагнитные излучения. ÝÌÝ — электромагнитная энергия.
ÝÏÐ — эффективная площадь рассеивания.
СП И С О К Л И Т Е Р А Т У Р Ы
1.Федеральный закон РФ «Об информации, информатизации и защите информации» ¹ 24-ф3 от 20.02.95 // Российская газета. 1995. 25 февр.
2.Закон РФ «О государственной тайне» ¹ 5485-1 îò
21.07.93(с изменениями от 06.10.97).
3.Доктрина информационной безопасности Российской Федерации.
4.Петраков А.В. Основы практической защиты информации. М.: Радио и связь, 1999. 361 с.
–119 –
5.Хорев А.А. Способы и средства защиты информации. М.: МО РФ, 1998. 316 с.
6.Торокин А.А. Основы инженерно-технической защиты информации. СПб.: Ось-89, 1998. 336 с.
7.Вартанесян В.А. Радиоэлектронная разведка. М.: Военное издательство, 1991. 254 с.
8.Исследование ПЭМИН // Системы безопасности связи
èтелекоммуникаций. 2001. ¹ 4. С. 12—15.
9.Герасименко В.А., Малюк А.А. Основы защиты информации. М.: МИФИ, 1997. 540 с.
10.Лопатин В.Н. Правовые основы информационной безопасности. М.: МИФИ, 2000. 356 с.
11.Исследования побочных электромагнитных излучений технических средств / Л. Михалев, И. Новичков, А. Сергеев, С. Сталенков
// Системы безопасности связи и телекоммуникаций. 2001. ¹ 39. С. 50—53.
12.Емельянов Г.В. Основы государственной политики РФ в области обеспечения информационной безопасности // Системы безопасности связи и телекоммуникаций. 2000. ¹ 36. С. 6—8.
13.Петраков А.В., Лагутин В.С. Защита абонентского телетрафика. М.: Радио и связь, 2001. 504 с.
14.Волчинская Е.К. Развитие законодательной базы защиты информации в РФ // Системы безопасности связи и телекоммуникаций. 2000. ¹ 36. С. 9—11.
15.Мусатов С., Белорусов Д. 12 вопросов о корректных измерениях побочных электромагнитных излучений // Системы безопасности связи и телекоммуникаций. 2000. ¹ 36. С. 64—66.
16.Чертопруд С.В. Законодательные акты по защите гостайны в Российской империи в начале ХХ века // Вопросы защиты информации. 1996. ¹ 4. С. 25—29.
17.Милославская Н.Г., Толстой А.И. Мировые лидеры среди средств обеспечения информационной безопасности в сетях // Безопасность информационных технологий. 2000. ¹ 3. С. 41—48.
18.Хорев А.А., Макаров Ю.К. К оценке эффективности защиты акустической (речевой) информации // Специальная техника. 2002.
–120 –