7Й вопрос. Определение преимуществ открытого использования сведений, составляющих служебную тайну

При определении преимуществ открытого использования сведений, составляющих служебную тайну по сравнению с их закрытым использованием ПЭДК должна оценить и установить все положительные и отрицательные факторы, которые указывают на возможность (допустимость) открытого использования рассматриваемых сведений по сравнению с закрытым. Факторы, указывающие на необходимость и преимущество открытого использования сведений, составляющих служебную тайну, должны определяться аналитическим путем (ПДЭК). В результате аналитического анализа образуются материалы, которые позволяют получить следующие результаты:

Финансовые и другие экономические обоснования оценки получения прибыли от открытого использования служебной информации

Оценка финансовых затрат на проведение мероприятий, направленных на обеспечение безопасности и деятельности организации

8Й вопрос. Определение затрат на защиту сведений, составляющих служебную тайну

Защита сведений, составляющих служебную тайну, предусматривает проведение ряда организационно-технических мероприятий, направленных на решение вопроса обеспечения информационной безопасности. При этом, в бюджете организации должны быть предусмотрены затраты на финансирование следующих организационно-технических мер:

Создание и оборудование рабочих мест, связанных с выполнением задач по обеспечению защиты служебной тайны

Увеличение штатной численности службы безопасности, а также технических средств охраны и их содержание

Организация дополнительной проверки допуска к документам и работам конфиденциального характера необходимого числа сотрудников организации

Организация дополнительной технической защиты информации и специальной охраны объекта информатизации и носителей информации с точки зрения обеспечения информационной безопасности

Других мероприятий, в зависимости от объёмов работы по обеспечению требуемого режима обеспечения безопасности

Затраты на защиту сведений, составляющих служебную тайну, должны учитываться при определении ущерба, наносимого в результате несанкционированного распространения защищаемой информации.

9Й вопрос. Принятие решения о включении сведений в окончательный вариант перечня и оформление проекта перечня

В обобщенный вариант перечня должны включаться все сведения служебного характера организации, для которых величина морального и материального ущерба от несанкционированного распространения выше суммарного показателя затрат при их закрытом использовании.

По результатам работы комиссии оформляется проект перечня, который подписывается председателем комиссии. Подписанный перечень утверждается руководителем организации.

Примечание. К проекту перечня могут прилагаться рабочие материалы с обоснованием необходимости включения в него тех или иных сведений. Эти материалы должны быть подписаны всеми членами комиссии. Кроме того, в проект перечня могут быть включены также сведения служебного характера сторонних организаций.

Степень конфиденциальности таких сведений должна устанавливаться по согласованию с собственником этих сведений. При оформлении перечня указываются также сроки действия их конфиденциальности. Вместо указания срока действия конфиденциальности могут приводиться обстоятельства или события (в графе «Замечания» или «Особые отметки»). Это означает, что, при наступлении определенного события возникает необходимость изменения пометки конфиденциальности вплоть до полного открытия сведений. Решение об открытии конкретного сведения (снятие конфиденциальности) принимает руководитель. Утвержденный перечень вводится в действие приказом руководителя организации. Сотрудники, которые допускаются к сведениям, составляющим служебную тайну, должны ознакомиться под расписку с этим приказом и перечнем. Сотрудник, получивший доступ к сведениям и документам, должен подписать индивидуальное письменное обязательство о неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее трех лет после его увольнения (от трех до пяти, в зависимости от ценности). Пересмотр перечня сведений, составляющих служебную тайну, а также внесение в него изменений или дополнений, должны осуществляться по мере необходимости. Порядок пересмотра и внесения изменений такой же, как при формировании. Постоянный контроль за эффективностью защиты служебной тайны и правильностью использования перечня возлагаются на заместителя руководителя организации, отвечающего за режим. Вопросы организации такого контроля обязательно отражаются в годовом плане мероприятия по защите служебной тайны.

Лекция 3 Организация взаимодействия юридических лиц с органами власти при проведении совместных работ с конфиденциальной информацией

Цель занятия – рассмотреть особенности взаимодействия органов власти с предприятиями, учреждениями, организациями при проведении работ с конфиденциальной информацией

1й вопрос. Основы организации взаимодействия органов власти и юридических лиц.

Независимо от места проведения работы, при взаимодействии органов власти и юридических лиц должна обеспечиваться защита информации. В настоящее время взаимодействие юридических лиц и органов власти при проведении совместных работ с конфиденциальной информацией заключается также в выполнении требований, вытекающих из действующих норм законодательства по защите информации. Основные требования при этом представляют:

Требования к защите информации должны иметь статус обязательных для любых организаций, независимо от формы собственности.

Для того чтобы эти требования более жестко выполнялись (были обязательными для выполнения), необходимо такие требования сформулировать в виде предписаний персоналу, как хозяйствующего субъекта, так и органа власти, и утвердить организационно-распорядительным документом (совместный приказ).

Требования по защите должны быть сформулированы для всех сервисов, средств и мер защиты. При этом технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах (ГИС), в том числе программно-технические средства (ПТС) и средства защиты информации (СЗИ) должны соответствовать требованиям законодательства РФ по техническому регулированию.

Основными целями защиты конфиденциальной информации в таком случае является выполнение следующих условий:

Предотвращение возможности получения защищаемых сведений об организации конкурентами, криминальными структурами или техническими разведками.

Предотвращение несанкционированного доступа посторонних лиц к защищаемой информации.

Соблюдение правового режима использования информационных ресурсов и систем, обеспечение полноты, целостности, достоверности информации в информационной системе юридического лица.

Предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения работниками.

Предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в информационной системе организации.

Предотвращение утрат, уничтожения или сбоя функционирования носителей защищаемой информации.

Сохранение возможности управления процессом обработки и использования информации допущенными сотрудниками организации, которые являются операторами информационной системы.

Примечание. В технических заданиях, договорах и контрактах на выполнение совместных работ с использованием конфиденциальной информации должны быть предусмотрены требования или меры по технической защите такой информации, которые обязательно выполняются каждой из сторон. Также в них согласовывается с подразделениями по технической защите конфиденциальной информации, администрации и взаимодействующих хозяйствующих субъектов. Непосредственная организация технической защиты возлагается на руководителей совместных работ, а ответственность за обеспечение технической защиты информации – на исполнителей работ (пользователей) при использовании ими технических средств для обработки и передачи информации, подлежащей защите.

2й вопрос. Организация передачи конфиденциальной информации государственным органам.

В настоящее время органам государственной власти, учреждениям, предприятиям в процессе своей деятельности приходится иметь дело с запросами сторонних организаций опредоставлении какой-либо информации, в том числе относящейся к категории конфиденциальной. Конфиденциальная информация может запрашиваться государственными органами с целью создания собственных информационных массивов, контрольно-ревизионных проверок, приобщение к материалам уголовных и административных дел и так далее. Исполнение таких запросов должно происходить в соответствии с требованиями законодательства, в первую очередь в соответствии с федеральным законом№149-ФЗ, указах президента, правительства, федеральных органов исполнительной власти. При этом предоставление информации - это действие, направленное на получение информации определенным кругом лиц или направленные на передачу информации определенному кругу лиц. При этом важно учесть, что передающий информацию надеется на ее сохранность и нераспространение. Принимающий конфиденциальную информацию также заинтересован в сохранении ее в тайне, поскольку сам характер этой информации представляет собой служебную тайну государственного органа, так как раскрывает круг интересов государственного органа. Разглашение такой информации может принести сторонам определенный ущерб.

Конфиденциальность – доверие. Конфиденциальная информация - информация с ограниченным доступом, которая не содержит государственную тайну. При этом следует обратить особое внимание на сохранность этой информации и выполнение требований по рассылке конфиденциальной информации заказными, ценными почтовыми отправлениями или с помощью системы фельдсвязи. В соответствии с законодательством, перечень конфиденциальной информации установлен указом президента №188 1997 года:

Персональные данные; Тайны следствия и судопроизводства; Служебная тайна; Профессиональная тайна; Коммерческая тайна; Ноу-хау

По всем этим видам тайн возможна организация передачи конфиденциальной информации в государственные органы. При этом следует учитывать признаки и условия охраноспособности права на конфиденциальную информацию:

Информация должна быть документирована

Информация должна соответствовать ограничениям, установленным законодательством. Например, статья 8 закона 149-ФЗ запрещает ограничивать доступ к следующим сведениям:

Нормативные правовые акты, которые затрагивают права, свободы, обязанности человека и гражданина, а также устанавливают правовое положение организаций и полномочия государственных органов и органов местного самоуправления.

Информация о состоянии окружающей среды.

Информация о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну).

Информация, накапливаемая в открытых фондах библиотек, музеев, архивов, а также государственных, муниципальных и других информационных системах, созданных или предназначенных для обеспечения физических лиц и организаций такой информацией

Другой информацией, недопустимость ограничения доступа к которой установлена другими федеральными законами.

Законодательством РФ установлено, что защита информации предусматривает принятие собой правовых, организационных и технических мер, направленных на достижение следующих целей:, организационных и технических мер, направленных на достижение следующих целей:

Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации

Соблюдение конфиденциальности информации ограниченного доступа

Реализация права на доступ к информации

Использование полученной конфиденциальной информации в государственных органах.

Запрашивающие и получающие информацию государственные органы во всех случаях не становятся собственниками. Поэтому они не имеют права распоряжаться полученной информацией по своему усмотрению,более того, обязаны обеспечить ее сохранность и конфиденциальность. Если в государственный орган поступил запрос получения или просьба по предоставлению информации, не предусмотренный действующим законодательством или совместными соглашениями или приказами, то они исполнению не подлежат. Действующее законодательство РФ предусматривает ответственность за нарушение режима и правил предоставления информации. В соответствии со статьей №6 федерального закона о коммерческой тайне, обладатель информации, составляющей коммерческую тайну, по мотивированному требованию органа власти предоставляет на безвозмездной основе информацию, составляющую коммерческую тайну. Мотивированное требование должно быть подписано должностным лицом, содержать указание цели или правового основания за требование информации, составляющей коммерческую тайну, а также срок предоставления информации (если иное не установлено федеральными законами). В случае отказа обладателя информации, составляющей коммерческую тайну, предоставить ее органу государственной власти (органу местного самоуправления), перечисленные органы вправе затребовать информацию в судебном порядке. Обладатель информации, составляющей коммерческую тайну, а также органы государственной власти, а также иные органы, органы местного самоуправления, получившие такую информацию, обязаны предоставить эту информацию по запросу судов, органов предварительного следствия, а также органам дознания по делам, которые находятся в их производстве. Порядок и основания предоставления предусмотрены законодательством РФ. Налоговые, таможенные и контрольные органы власти имеют широкие полномочия получения информации от организации. Налоговые органы РФ вправе производить у любых субъектов налогообложения следующие операции:

Проверка финансовых документов, бухгалтерских отчетов, планов, смет.

Проверка других документов, связанных с исчислением и уплатой налогов и других обязательных платежей бюджета

Получать необходимые справки и сведения за исключением сведений, составляющих государственную тайну. При этом следует строго исходить из требований законодательства РФ

В интересах соблюдения закона 149-ФЗ было подготовлено письмо ГосНалогСлужбы от 25 апреля 1997 года №ИЛ-6-24/321 «Об обеспечении конфиденциальности в работе с налоговыми декларациями». В данном письме указывается, что работа с декларациями о совокупном годовом доходе физических лиц становится одним из наиболее ответственных направлений в деятельности налоговых органов и требует строгого соблюдения законодательства об обеспечении сохранности и конфиденциальности предоставляемых налогоплательщиками сведений. Таким образом, налоговая декларация является документом, содержащим сведения ограниченного распространения, и налоговые органы не являются собственником такой информации, поэтому не могут распоряжаться по своему усмотрению, и обязаны обеспечить сохранность и конфиденциальность. Вместе с тем, на основании статьи №109 уголовно-процессуального кодекса РФ (УПК РФ) без согласия налогоплательщика предоставляется конфиденциальная информация только в судебные и правоохранительные органы в связи с возбуждением уголовного дела или при проведении проверки. Во всех налоговых инспекциях должен быть установлен порядок, обеспечивающий персональную ответственность за сохранность налоговых деклараций и исключающий несанкционированный доступ к ним. По каждому факту утраты деклараций и разглашению содержащихся в них сведений предписано проводить служебное расследование, о результатах и принятых мерах докладывать в налоговую службу. Обмен конфиденциальной информацией с органами таможенного контроля осуществляется на основании таможенного кодекса. При этом любая конфиденциальная информация, полученная таможенными органами, может использоваться только в таможенных целях. При этом сотрудники таможенного органа не вправе разглашать, использовать в личных целях или передавать третьим лицам полученную информацию. Таможенные органы могут передавать предоставленную им информацию другим органам власти, если такая информация необходима указанным органам для решения задач, возложенным на них законодательством РФ. При этом порядок передачи должен быть согласован. В этих случаях обязательно соблюдение требований законодательства по защите информации ограниченного распространения. Должностные лица органов власти не имеют право разглашать, передавать и использовать в личных целях полученные сведения, за исключением случаев, установленных законодательством РФ.

Особенности передачи полученной конфиденциальной информации в другие государственные органы.

Передача конфиденциальной информации о налогоплательщиках без их согласия разрешается только в правоохранительные и судебные органы в строго установленном порядке, то есть по официальным мотивированным письменным запросам в связи с возбужденным уголовным делом. При этом, запросы о финансово-экономической деятельности юридических и физических лиц и копии документов должны подписываться лицом, проводящим расследование, а при проведении проверки-прокурором (уполномоченным лицом ОВД) с указанием должности, фамилии и номера телефона.

Правоохранительным и судебным органам налоговые органы могут предоставить следующие сведения:

ИНН

Перечень расчетных, текущих и других счетов

Наименование и местонахождение банков и других кредитных организаций, в которых открыты счета

Местонахождение налогоплательщика (если известно)

Уплата налогоплательщиком налогов и других обязательных платежей

Информация о финансово-хозяйственной деятельности по установленным формам отчетности. При этом истребование копий документов, оригиналы которых находятся в других организациях, и получение с них копий производится с согласия начальника налоговых органов, когда по обстоятельствам дела установление местонахождения подлинника может затянуть расследование или принятие решения по делу или материалу. С органами таможенного контроля обмен конфиденциальной информацией осуществляется на основании таможенного кодекса.

Конфиденциальная информация арбитражным судам и судам общей юрисдикции предоставляется непосредственно в суд по официальному мотивированному письменному запросу судьи. На основании федерального закона от 21 июля 1991 №119 «Об исполнительном производстве» судебным приставам-исполнителям в трехдневный срок после получения письменного запроса предоставляются сведения о наличии или об отсутствии у должника организации счетов в банках и других кредитных организациях. После получения письменного заявления с приложенной копией исполнительного листа с не истёкшим сроком давности предоставляются номера счетов и других банковских реквизитов. При необходимости конфиденциальная информация может предоставляться депутатам совета федерации и государственной думы.Также налоговые органы обязаны оказывать содействие деятельности счетной палаты РФ и предоставлять по ее запросам информацию о результатах проводимых ревизий и проверок. Органы государственной статистики и налоговые органы осуществляют информационное взаимодействие в соответствии с приказом от 22 августа 1996 № ВА-3-09/71«По валютному и экспертному договору» информация предоставляется государственной налоговой службе России и федеральной службе по валютному и экспертному контролю. На основании письменного запроса полномочного представителя президента могут быть предоставлены следующие сведения:

Открытые сведения о проверках государственных налоговых инспекций по субъекту РФ

О количестве проверок налогоплательщиков по вопросам соблюдения налогового законодательства.

О суммах до начислений в бюджеты различных уровней по видам налогов

О видах нарушений налогового законодательства

Иностранным организациям и гражданам, которые не зарегистрированы в налоговых органах России в качестве налогоплательщиков, не допускается предоставление служебной информации.

В рамках международного сотрудничества информационное взаимодействие осуществляется в порядке, установленном соответствующей инструкцией ГосНалогСлужбы.

Примечание. Одним из направлений деятельности налоговых органов является работа с декларациями совокупном годовом доходе физических лиц. Такая работа является деятельностью, связанной с информацией ограниченного распространения, и требует строгого соблюдения законодательства об обеспечении сохранности и конфиденциальности предоставляемых налогоплательщиками сведений, поскольку налоговая декларация является документом, который содержит сведения ограниченного распространенияи защищается налоговыми органами. С этой целью учет, хранение, использование и уничтожение налоговой декларации должны осуществляться в строгом соответствии с инструкцией. При этом в случае поступления запросов и обращений в налоговый орган с целью получения сведений, содержащихся в налоговых декларациях, следует исходить из того, что налоговые органы не являются собственником информации, содержащейся в налоговых декларациях, не могут распоряжаться по своему усмотрению, и обязаны обеспечивать их сохранность и конфиденциальность.

5й вопрос. Особенности предоставления конфиденциальной информации без согласия налогоплательщиков

Предоставление конфиденциальной информации налогоплательщика без его согласия возможно только в судебные и правоохранительные органы и в строго определенных случаях, то есть по официальным мотивированным запросам в связи с возбуждением уголовного дела. При этом должен существовать порядок, обеспечивающий персональную ответственность за сохранность налоговой декларации, исключающий несанкционированный доступ к ней. По каждому факту утраты деклараций и разглашения сведений должно проводиться тщательное служебное расследование. В случаях, не предусмотренных законодательством, запросы, поручения и просьбы не выполняются. Система правоохранительных органов входят прокуратура, органы обеспечения государственной безопасности и другие. Все перечисленные органы вправе на определенных основаниях, установленных законом, получать сведения без согласия налогоплательщика, в том числе конфиденциальные. Правоохранительные органы, в соответствии с законодательными актами об этих органах (положениях), при наличии данных, влекущих уголовную или административную ответственность, имеют право изымать необходимые документы путем их выемки или обыска. Основанием для производства выемки служит необходимость изъятия документов, имеющих значение для дела. Выемка производится по мотивированному постановлению следователя.

Лекция 4 Организационное обеспечение информационной безопасности при использовании общедоступных информационно-телекоммуникационных сетей

Цель занятия – рассмотреть, что такое ОИТКС и почему нужно обеспечиватьих безопасность.

1й вопрос. Правовое обеспечение использования ОИТКС.

ИТКС – это технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств электронно-вычислительной техники (149-ФЗ).

В настоящее время, на основании федерального закона о связи, для оказания услуг связи в пределах мировых ИТКС на территории России является обязательным выполнение следующих условий:

Создание российских сегментов связи, которые являются частью мировых сетей и обеспечивают взаимодействие с единой сетью связи России.

Создание российских операторов связи, которые отвечают требованиям, предъявляемым к ним федеральным законом о связи.

Обеспечение экономической, общественной, оборонной, экологической, информационной и других видов безопасности.

В развитие положений этих законов Министерством Связи приказом от 11 декабря 2006 года №166 утверждены Правила создания средств связи, используемых для обеспечения доступа к информации в ИТКС, передачи сообщений электронной почтой и факсимильных сообщений. При этом под средствами связи понимают технические и программные средства, включающие любое из перечисленных технических средств, либо их комбинацию (два или более):

Технические средства обмена электронными сообщениями, включая технические средства электронной почты, передачи голосовой информации электронной почтой, технические средства коротких текстовых сообщений и мультимедийных сообщений.

Информационные технические средства в части технических средств доменных имен, технических средство доступа к информационным ресурсам, технических средств управления.

Технические средства удаленного доступа, включая туннелирование

Технические средства аутентификации и идентификации

Технические средства передачи факсимильных сообщений

Примечание. Средства связи, предназначенные для обеспечения доступа к информации в ИТКС, а также передачи сообщений электронной почтой и факсимильные сообщения, подлежат обязательному декларированию.

2й вопрос. Основные требования к средствам связи, используемые для обеспечения доступа к информации.

Среди требований к средствам связи, используемым для обеспечения доступа, можно выделить 7 групп требований:

Взаимодействие средств связи, используемых для обеспечения доступа информации в ИТКС, передачи сообщений электронной почтой и факсимильной системой осуществляется по протоколам транспортного уровня (TCP, UDP)

TransmissionControlProtocol (TCP) (протокол управления передачей) — один из основных сетевых протоколов Интернета, предназначенный для управления передачей данных в сетях и подсетях TCP/IP

UDP (англ. UserDatagramProtocol — протокол пользовательских дейтаграмм) — это транспортный протокол для передачи данных в сетях IP без установления соединения.

Технические средства обмена электронными сообщениями обеспечивают выполнение следующих функций:

Обмен электронными сообщениями

Идентификация по введенным параметрам

Проверка наличия свободного дискового пространства

Информационные технические средства обеспечивают выполнение следующих функций:

Выдача информации по запросам

Идентификация по введенным параметрам

Технические средства удаленного доступа обеспечивают выполнение следующих функций:

Индикация работающих процессов; Добавление нового регистрационного имени и соответствующего ему набора параметров; Изменение набора параметров, соответствующих регистрационному имени;

Удаление регистрационного имени и его параметров;

Аутентификацияпо введенным идентификационным параметрам и выдача набора параметров;

Аутентифика́ция (англ. Authentication) — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

Авторизация по введенным идентификационным параметрам;

Авторизация (англ. authorization):

Процесс предоставления определенному лицу прав на выполнение некоторых действий.

Процесс подтверждения (проверки) прав пользователей на выполнение некоторых действий

Проверка прав пользователя на осуществление транзакций, проводимая в точке обслуживания, результатом которой будет разрешение или запрет операций клиента (например, совершения акта купли-продажи, получения наличных, доступ к ресурсам или службам).

Обеспечение доступа к информации в соответствии с правами доступа.

Технические средства аутентификации и идентификации обеспечивают выполнение следующих функций:

Проверка наличия свободного дискового пространства;

Индикация выполняемых техническим средством задач;

Добавление нового регистрационного имени и соответствующего ему набора параметров;

Изменение набора параметров, соответствующих регистрационному имени;

Удаление регистрационного имени и его параметров;

Аутентификация по введенным идентификационным параметрам и выдача набора параметров.

Технические средства передачи факсимильных сообщений обеспечивают выполнение следующих функций:

Контроль доступа к оказываемым услугам;

Передача одноадресного сообщения;

Обеспечение идентификации сообщения;

Передача сообщений в соответствии с их классами доставки (срочное, обыкновенное, несрочное);

Извещение о недоставке;

Повторная попытка доставки сообщений при недоступности технических средств факсимильных сообщений;

Регистрация вызовов.

При реализации технических средств электронной почты выполняются следующие функции:

Аутентификация по введенным идентификационным параметрам;

Выдача сообщений на устройства отображения в соответствии с введенным регистрационным именем (адресом);

Отправка сообщений в соответствии с введенным адресом или несколькими адресами;

Добавление нового адреса электронной почты;

Блокировка адреса электронной почты;

Организация очереди для отправки сообщений;

Прием, хранение, передача в сообщениях электронной почты файлов, соответствующих формату MIME;

Переблокировка адреса электронной почты.

Особенности использования сетей связи общего пользования

В настоящее время сети, которые используются для предпринимательской деятельности, имеют особенности:

Сеть связи общего пользования представляет собой комплекс взаимодействующих сетей электросвязи;

Сеть связи общего пользования предназначена для возмездного оказания услуг электросвязи;

Услуги связи оказываются любому пользователю на территории РФ

Сеть связи общего пользования включает в себя сети электросвязи, определяемые географически в пределах обслуживаемой территории и ресурснумерации, и не определяемые географически в пределах территории РФ и ресурса нумерации, а также сети и связи, определяемые по технологии реализации оказания услуг связи;

Сеть связи общего пользования имеет присоединения к сетям связи общего пользования иностранных государств;

Сеть связи общего пользования может включать в себя сети связи для распространения программ телевизионного вещания и радиовещания.

Вывод. Таким образом, сеть связи общего пользования – совокупность сетей электросвязи, имеющих технические, организационные и другие возможности взаимодействовать друг с другом с целью осуществления предпринимательской деятельности по оказанию услуг электросвязи

Примечание. Для возмездного оказания услуг электросвязи, если иное не предусмотрено законодательством России, не могут использоваться сети связи специального назначения, которые предназначены для нужд государства, безопасности государства и обеспечения правопорядка.

Объединенные требования к ИТКС общего использования

На территории России использование ИТКС осуществляется с соблюдением законодательства в области связи (126-ФЗ), 149-ФЗ а также других нормативно-правовых актов. Федеральными законами может быть предусмотрена обязательная идентификация личности и организации, которые используют ИТКС при осуществлении предпринимательской деятельности. При этом получатель электронного сообщения, находящийся на территории России, вправе провести проверку, позволяющую установить отправителя электронного сообщения. В некоторых случаях, если это установлено законом или соглашением сторон, такая проверка проводится обязательно.

Электронное сообщение – информация, переданная или полученная пользователем ИТКС

Электронный документ – документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком, с использованием ЭВМ, а также для передачи в ИТКС или для обработки в информационных системах.

Документированная информация – зафиксированная на материальном носителе путем документирования информация, с реквизитами, позволяющими определить такую информацию или в установленных законодательством РФ случаях ее материальный носитель. (149-ФЗ)

Регулирование использования ИТКС, доступ к которым неограничен определенным кругом лиц, в России осуществляется с учетом международной практики. Порядок использования других ИТКС определяется владельцами таких сетей с учетом требований, установленным ФЗ о связи.

Примечание. Использование на территории России ИТКС в хозяйственной или другой деятельности не может служить основанием для установления дополнительных требований или ограничений, которые касаются регулирования указанной деятельности, осуществляемой без использования таких сетей, а также для несоблюдения требований, установленных законодательством.

Передача информации посредством использования ИТКС осуществляется без ограничений при условии соблюдения установленных федеральными законами требований к распространению информации и охране объектов интеллектуальной собственности. Передача информации может быть ограничена только в порядке и на условиях, которые установлены федеральными законами. Особенности подключения государственных информационных систем к ИТКС устанавливаются или Президентом, или Правительством. В настоящее время, действует постановление правительства от 18 мая 2009 года №424 «Об особенностях подключения федеральных государственных информационных систем к ИТКС»

Особенности режима ограничения передачи информации

Ограничение передачи информации с помощью ИТКС базируется на следующих основаниях:

Ограничение распространения информации, предусмотренные законодательством об авторском праве

Ограничения распространения информации, предусмотренные законодательством о тайнах

6й вопрос. Регулирование подключения федеральных государстенных информационных систем к ИТКС

Постановлением №424 от 18 мая 2009 года определено:

1.Операторы федеральных государственных информационных систем, которые созданы или используются в целях организации полномочий органов власти всех уровней, содержащие сведения, которые обязательны для размещения в сети Интернет (постановление от 12 февраля 2003 года № 98 «об обеспечении доступа к информации о деятельности государственных органов») при подключении систем общего пользования к ИТКС обязаны обеспечить:

Защиту информации, содержащейся в информационных системах общего пользования от уничтожения, изменения и блокирования доступа к ней;

Постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования;

Восстановление информации, измененной или уничтоженной вследствие НСД к ней в течение не более 8 часов;

Использование при подключении ИСОП к ИТКС средств защиты информации, которые прошли оценку соответствия (в том числе, в установленных случаях, сертификацию) в порядке, установленном законодательством РФ;

Операторы ИСОП и операторы связи обязаны обеспечивать информационную безопасность при подключении ИСОП в ИТКС;

Финансирование мероприятий осуществляется за счет средств, предусмотренных постановлением правительства №98 от 12 февраля 2003.

Перечисленные требования и особенности рекомендуется учитывать органам государственной власти, субъектам РФ при подключении региональных государственных информационных систем к ИТКС, доступ к которым неограничен определенным кругом лиц.

Примечание. Установлено, что требования по защите информации, содержащейся в ОИТКС или в ИСОП, разрабатываются ФСБ России и ФСТЭК России

Характеристика требований к защите информации, содержащейся в информационных системах общего пользования.

Эти требования определены в совместном приказе ФСБ и ФСТЭК от 31 августа 2010 года №416/489. Эти требования распространяются на федеральные государственные информационные системы, которые созданы или используются в целях реализации полномочий федеральных органов исполнительной власти, и содержат те сведения о деятельности правительства России и федеральных органов исполнительной власти, которые обязательны для размещения в сети Интернет. На основании данного приказа ИСОП должны обеспечивать:

Сохранность и неизменность обрабатываемой информации при несанкционированном или непреднамеренном (случайном) воздействии на нее в процессе обработки или хранения (целостность);

Беспрепятственный доступ пользователей к содержащейся в ИСОП информации (доступность);

Защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования ИСОП, приводящих, в том числе, к уничтожению, модификации и блокированию информации (неправомерные действия).

ИСОП включают в себя:

Средства вычислительной техники;

Информационно-вычислительные комплексы и сети;

Средства и системы передачи, приема и обработки информации

Средства изготовления, тиражирования документов;

Другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации;

Программные средства;

Средства защиты информации.

Информация, которая содержится в ИСОП, является общедоступной.

В целом, ИСОП, в зависимости от значимости, содержащейся в ней информации, разделяется на два класса:

ИСОП правительства РФ, в которых из-за нарушения целостности может возникнуть угроза безопасности РФ

Примечание. Отнесение ИСОП к первому классу проводится по решению руководителя соответствующего федерального органа исполнительной власти

ИСОП, не указанные в первом классе

Защита информации, содержащейся в ИСОП первого и второго класса, достигается путем исключения неправомерных действий в отношении указанной информации. Методы и способы защиты информации в ИСОП определяются оператором ИСОП и должны соответствовать требованиям 416/489. Достаточность принятых мер по защите информации в ИСОП оценивается в следующих случаях:

При проведении мероприятий по созданию данной системы

В ходе проведения мероприятий по контролю их функционирования

Работы по защите информации в ИСОП являются неотъемлемой частью работ по созданию данных систем и должны удовлетворять следующим требованиям:

Размещение ИСОП, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях, должна обеспечивать сохранность носителей информации и средств защиты информации;

Размещение специального оборудования, охрана и организация режима должны исключать возможность неконтролируемого проникновения.

В процессе эксплуатации защиту информации в ИСОП обеспечивает оператор ИСОП. С этой целью должны быть выполнены следующие требования:

Поддержание целостности и доступности информации;

Предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;

Проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;

Своевременное обнаружение фактов неправомерных действий в отношении информации;

Недопущение воздействий на технические средства ИСОП, в результате которых может быть нарушено их функционирование;

Возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;

Проведение мероприятий по постоянному контролю за обеспечением защищенности ИСОП;

Возможность записи и хранения сетевого трафика.

8й вопрос. Организационное обеспечение информационной безопасности ИСОП

Для разработки и осуществления мероприятий по защите информации в ИСОП оператором ИСОП назначается структурное подразделение или работник, которые отвечают за защиту информации. При этом организационные мероприятия включают следующие элементы:

Определение угроз безопасности информации и формирование на их основе модели угроз;

Разработку на основе модели угроз системы защиты информации, которые обеспечивают нейтрализацию потенциальных угроз с использованием таких методов и способов защиты информации, которые предусмотрены для соответствующего класса ИСОП;

Проверка готовности средств защиты информации к использованию (с составлением заключения о возможности их эксплуатации);

Установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

Обучение лиц, использующих средства защиты информации, применяемых в ИСОП, правилам работы с ними;

Учет применяемых средств защиты информации эксплуатационной и технической документации к ним;

Контроль за соблюдением условий использования средств защиты информации, предусмотренные эксплуатационной и технической документацией;

Проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности ИСОП. Разработка и принятие мер по предотвращению возможных опасных последствий данных нарушений

Описание системы защиты ИСОП. Запросы пользователей на получение информации, которая содержится в ИСОП, а также факты предоставления такой информации по запросам регистрируются автоматизированными средствами ИССОП в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами. При обнаружении нарушения порядка доступа к информации оператор ИСОП организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке.

Подсистема информационной безопасности ИСОП должна обеспечивать восстановление информации, модифицированной или уничтоженной вследствие неправомерных действий.

Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.

Реализация требований по обеспечению защиты информации средствами защиты информации возлагается на их разработчиков.

Требования по защите информации в системах общего пользования первого класса.

Эти требования заключаются в:

Использовании средств защиты информации от неправомерных действий, в том числе СКЗИ (электронно-цифровой подписи, при этом они должны применяться к публикуемому информационному наполнению), сертифицированных ФСБ

Использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ

Использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированные ФСБ

Использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированные ФСБ

Осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации

Осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за 10 и более последних днейи предоставление доступа к записям по запросам государственных органов, осуществляющих оперативно-розыскную деятельность

Обеспечение защиты технических и программных средств ИСОП, и от несанкционированного доступа к помещениям, в которых находятся данные средства с использованием технических средств охраны, в том числе систем видеонаблюдения, предотвращающих проникновение в помещения недопущенных лиц

Осуществление регистрации действий обслуживающего персонала и пользователей

Обеспечение резервирования технических и программных средств дублированием носителей и массивов информации

Использование сертифицированных в установленном порядке систем обеспечения гарантированного электропитания (источников бесперебойного питания)

Осуществление мониторинга защищенности ИСОП первого класса уполномоченным подразделением ФСБ России

Введение в эксплуатацию ИСОП первого класса только после направления оператором ИСОП в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствие требованиям к первому классу

Требования по защите информации ИСОП второго класса

Использование средств защиты от неправомерных действий, в том числе СКЗИ, сертифицированные ФСБ России, а для других средств – ФСТЭК

Использование средств обнаружения вредоносного программного обеспечения, сертифицированные ФСТЭК или ФСБ

Использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированные ФСТЭК или ФСБ

Использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированные ФСБ или ФСТЭК

Аналогично первому классу, но сертифицированные ФСТЭК или ФСБ

Аналогично первому классу, но последние сутки

Обеспечение защиты от воздействий на технические и программные средства ИСОП, в результате которых нарушается их функционирование и НСД к помещению

Только осуществление регистрации действий обслуживающего персонала.

Обеспечение частичного резервирования технических средств

Использование систем обеспечения гарантированного электропитания

Аналогично первому классу

Введение в эксплуатацию только после направления оператору во ФСТЭК уведомления о готовности

Лекция 5. Планирование мероприятий по организационному обеспечению ИБ ХС

Целью занятия является изучение основных приемов.

1. Основные цели планирования мероприятий по организационному обеспечению ИБ предприятия.

В современных условиях одной из наиболее важных направлений деятельности мероприятия осуществляющего работу со сведениями конфиденциального характера. Планирование мероприятий по защите конфиденциальной информации занимает особое место в деятельности предприятия и его структурных подразделений.

Защита информации это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. ГОСТ Р 50922 – 2006.

Основными целями планирования мероприятий по ЗИ являются:

• Организация проведения КОМПЛЕКСА мероприятий, направленных на исключение возможных каналов утечки этой информации, установление персональной ответственности всех должностных лиц предприятия за решение вопросов ЗИ в ходе производственной и иной деятельности предприятия;

• Определение сроков, времени, периода проведения конкретных мероприятий по защите информации;

• Систематизация и объединение всех проводимых на плановой основе мероприятий по защите информации конфиденциального характера;

• Установление системы контроля за обеспечением защиты мероприятий, а также системы отчетности о выполнении конкретных мероприятий;

• Уточнение и конкретизация функций и задач, которые решают отдельные должностные лица мероприятия и структурные подразделения.

Основой для планирования мероприятий организационного обеспечения ИБ ХС служат следующие факторы:

• Требования законодательных и других нормативно-правовых документов по защите конфиденциальной информации, нормативно-методических документов федерального органа исполнительной власти (или уполномоченных органов – таких органов, документы которых будут действовать по всей стране ФСБ, ВСТЭК); А также вышестоящие организации или указания головного предприятия (для филиалов и представительств)

• Требования заказчиков проводимых предприятием в рамках соответствующих контрактов совместных работ;

• Положения международных договоров и соглашений, а также других документов, которые определяют участие предприятия в тех или иных формах международного сотрудничества;

• Положение внутренних локальных актов, которые определяют порядок ведения производственной и другой деятельности, а также конкретизируют вопросы защиты конфиденциальной информации на предприятии;

• Результаты комплексного анализа состояния дел в области защиты информации, который проводится службой безопасности или режимным подразделением на основании проверок структурных подразделений (филиалов или представительств предприятий);

• Результаты проверок состояния защиты информации, проведенных вышестоящими организациями, федеральными органами исполнительной власти в случае ведомственной комиссии, а также уполномоченными федеральными органами исполнительной власти и заказчиками работ(в рамках выполняемых контрактов или договоров), а также выработанных на основании результатов этих проверок рекомендаций, предложений, заключений;

• Результаты контроля за состоянием защиты информации на организации проводимого уполномоченными органами и другими контролирующими органами в части их касающихся по конкретным управлениям конфиденциальной информации;

• Особенности повседневной деятельности предприятия и специфика выполнения на предприятии работ с использованием различных видов конфиденциальной информации.

Особенности планирования мероприятий организационного обеспечения ИБ ХС

Планирование мероприятий по защите конфиденциальной информации проводится одновременно с планированием производственной и другой деятельности, планирование может осуществляться на календарный год, календарный месяц, а также на другой срок, обусловленный проведением важных мероприятий по видам деятельности предприятия, если они связаны с вопросами конфиденциального характера. Планы мероприятий, которые разрабатываются на срок более одного календарного года относятся, как правило, к стратегическим планам, остальные планы решают тактические задачи.

В целях эффективного решения задач по защите конфиденциальной информации в рамках наиболее важных и масштабных работ, а также в ходе реализации на мероприятии федеральных целевых государственных ведомственных и других программ могут разрабатываться отдельные планы, которые будут называться ПРОГРАММЫ ЦЕЛЕВОГО ПЛАНИРОВАНИЯ (программа реконструкции предприятия, программа внедрения новых технологий). Планы мероприятия по защите информации организационного обеспечения безопасности относятся к документам с ограниченным доступом, учитываются и хранятся в службе безопасности или режимом подразделений, порядок хранения устанавливается такой же, как и для других документов соответствующего грифа или степени доступа. Разработка планирующих документов по ЗИ осуществляется службой безопасности или режимным подразделением, при этом обеспечивается обязательное взаимодействие с подразделениями или отдельными должностными лицами, которые решают задачи непосредственно касающиеся вопросов защиты информации(например, службы охраны, служба конфиденциального делопроизводства, подразделения ПДТР) кроме того, при подготовке планов учитываются предложения структурных

Подразделений, которые занимаются производственной, финансовой, экономической, хозяйственной деятельностью. От полноты и качества разработки организационно-планирующих документов в полной мере зависит эффективность проведения мероприятий, направленных на исключение утечки конфиденциальной информации, утрат её носителей, а также возникновения предпосылок подобных происшествий.

Характеристика структуры плана мероприятий по ЗИ

….

Актуальные методические документы по защите, а также действующие приказы и указания вышестоящих органов. План утверждается руководителем предприятия до начала календарного года, на который он разрабатывается. При необходимости план согласовывается соответствующим органом безопасности. Утвержденный план доводится под РАСПИСКУ до сведения заместителей руководителя предприятия подразделения, а также отдельных должностных лиц, которые отвечают за проведение указанных в плане мероприятий, типовой план содержит следующие основные разделы:

• Организационная работа руководства предприятия; Подготовка персонала по вопросам обеспечения ИБ; Контроль организации защиты информации и наличие носителей и информации ограниченного распространения; Допуск и доступ персонала к информации ограниченно распространения и её носителя; Организация и ведение конфиденциального делопроизводства; Защита информации при осуществлении рекламной и публикательской деятельности; Защита информации при использовании технических средств; Защита информации в ходе осуществления международного сотрудничества; Защита информации при выезде за границу сотрудников, допущенных к конфиденциальной информации; ЗИ при выполнении совместных и других работ; ЗИ в чрезвычайных ситуациях; Пропускной режим и охрана объектов предприятия; Организация аналитической работы на предприятии;

Особое внимание при разработке планов уделяется руководителям структурных подразделений, которые отвечают по должности за обеспечение ЗИ непосредственно своих подразделений. Контроль за выполнением конкретных мероприятий, включенных в план осуществляется руководителем мероприятия и его заместителем по безопасности или на кого возложена задача организации защиты.

Служба безопасности или режимное подразделение осуществляет текущий контроль за практической реализацией и информирует о выполнении должностными лицами.

Основное содержание разделов плана мероприятий по защите информации, организационная работа руководства предприятия:

В первом разделе излагается вопрос о разработке организационно планирующих документов, в ходе повседневной деятельности предприятия и при выполнении предприятием всех видов работ. Также описывается представляемый вышестоящий орган или организацию докладные донесения о состоянии защиты информации. Подготовка и издание приказов руководителя предприятия по различным вопросам в области защиты информации ограниченного распространения. Переработка и уточнение должностных обязанностей сотрудников и другие вопросы, касающиеся организационной работы руководства.

Подготовка персонала по вопросам обеспечения ИБ: Организация и проведение занятий со всеми категориями сотрудников предприятия с учетом специфики выполняемой ими работы; Изучение положений нормативно-методических документов в области ЗИ и при необходимости доведения их требований до сведения сотрудников под расписку; Принятие зачетов и проведение занятий с прибывшими или назначенными на должность сотрудниками; Мероприятия по обучению сотрудников мероприятия в образовательных учреждениях высшего, среднего и дополнительного профессионального образования.

Контроль организации защиты информации и наличие носителей и информации ограниченного распространения:

Организация и проведение всех видов проверок состояния ЗИ и наличие носителей конфиденциальной информации или информации ограниченного доступа;

Особое внимание уделяется планированию проводимых по окончании календарного года мероприятий, по проверке носителей и проверке инф ограниченного доступа комиссией предприятия(для предприятий, работающих со сведениями, составляющими гос. тайну, проведение таких проверок планируется в соответствии со сроками, определенными в нормативно правовых актах по обеспечению режима секретности; при наличии у его предприятия подчиненных филиалов или представительств также планируются проверки состояния ЗИ в этих структурах комиссиями головного предприятия)

Допуск и доступ персонала к информации ограниченно распространения и её носителя:

В этом разделе указываются мероприятия, касающиеся разработки, переработки и согласования номенклатуры должностей, подлежащих оформлению на допуск к сведениям, составляющим ГТ;

Вопросы оформления и переоформления материалов на допуск к ГТ сотрудников предприятия в том числе контрактом трудовых договоров и карточек о допуске;

В этом разделе указывается разработка и переработка списков лиц, допускаемых к конкретным материалам проводимых работ; Мероприятия, направленные на разграничение доступа к носителям конфиденциальной информации в зависимости от степени их секретности или конфиденциальности, а также в зависимости от тематики проводимых работ(в этом разделе отдельным пунктом отображаются вопросы организации учета осведомленности лиц в сведениях особой важности или совершенно секретных сведениях и вопросах подготовки соответствующих заключений.

Организация и ведение конфиденциального делопроизводства:

Мероприятия, непосредственно касающиеся деятельности службы безопасности или режимно секретного подразделения мероприятия, а также специально создаваемых на мероприятии комиссий по отбору конфиденциальных документов и материалов для уничтожения, пересмотру степени секретности или конфиденциальности материала; Инструктажу лиц, убывающих с носителями конфиденциальной информации за пределы предприятия, вопросы учета, хранения, размножения и уничтожения носителей конфиденциальной информации, а также порядок работы с ними персонала предприятия.

Защита информации при осуществлении рекламной и публикательской деятельности:

Связанные с работой экспертной комиссии по принятию решений о возможности публикации научных материалов, информации о деятельности мероприятия, использование этих материалов при проведении рекламных акций, а также мероприятия, осуществляемые при подготовке материалов к открытому опубликованию.

Защита информации при использовании технических средств;

В этом разделе указываются организационные мероприятия по подготовке и вводу в эксплуатацию объектов информатизации, обрабатывающих информацию с ограниченным доступом, мероприятия по технической ЗИ, мероприятия по защите информации от НСД и утечки по техническим каналам;

Проводимая работа должностных лиц по ПДТР (противодействие действиям технической разведки);

Также указываются мероприятия по предотвращению от утечки информации при использовании средств открытой связи.

Защита информации в ходе осуществления международного сотрудничества:

В этом разделе указываются мероприятия по ЗИ при подготовке и реализации международных договоров и контрактов, других документов, а также при приеме иностранных делегаций.

Также в этом разделе указывается распределение функций по ЗИ между структурными подразделениями и должностными лицами в ходе международного сотрудничества.

Защита информации при выезде за границу сотрудников, допущенных к конфиденциальной информации:

Если предприятие работает со сведениями, составляющими ГТ, то планирование мероприятий осуществляется: на основании закона о государственной тайне и на основании закона о порядке выезда из российской федерации и въезда в соответствии с другими нормативно-правовыми актами.

Планируемые предприятия не должны быть направлены на ограничение прав сотрудников, гарантированных конституцией.

ЗИ при выполнении совместных и других работ:

В этом разделе указываются мероприятия, направленные на исключение утечки конфиденциальной информации при выполнении совместных работ, порядок и условия отражения в контрактах и договорах вопросов защиты информации и содержание соответствующих пунктов. Мероприятия по защите ГТ в ходе деятельности конкурсных комиссий, также в этом разделе указываются особенности проведения работ в рамках гос. оборон заказа.

Статья 17 закона о государственной тайне:

Передача сведений, составляющих государственную тайну, в связи с выполнением совместных и других работ

Передача сведений, составляющих государственную тайну, предприятиям, учреждениям, организациям или гражданам в связи с выполнением совместных и других работ осуществляется заказчиком этих работ с разрешения органа государственной власти, в распоряжении которого в соответствии со статьей 9 настоящего Закона находятся соответствующие сведения, и только в объеме, необходимом для выполнения этих работ. При этом до передачи сведений, составляющих государственную тайну, заказчик обязан убедиться в наличии у предприятия, учреждения или организации лицензии на проведение работ с использованием сведений соответствующей степени секретности, а у граждан - соответствующего допуска.

Предприятия, учреждения или организации, в том числе и негосударственных форм собственности, при проведении совместных и других работ (получении государственных заказов) и возникновении в связи с этим необходимости в использовании сведений, составляющих государственную тайну, могут заключать с государственными предприятиями, учреждениями или организациями договоры об использовании услуг их структурных подразделений по защите государственной тайны, о чем делается соответствующая отметка в лицензиях на проведение работ с использованием сведений, составляющих государственную тайну, обеих договаривающихся сторон.

В договоре на проведение совместных и других работ, заключаемом в установленном законом порядке, предусматриваются взаимные обязательства сторон по обеспечению сохранности сведений, составляющих государственную тайну, как в процессе проведения работ, так и по их завершении, а также условия финансирования работ (услуг) по защите сведений, составляющих государственную тайну.

Организация контроля за эффективностью защиты государственной тайны при проведении совместных и других работ возлагается на заказчика этих работ в соответствии с положениями заключенного сторонами договора.

При нарушении исполнителем в ходе совместных и других работ взятых на себя обязательств по защите государственной тайны заказчик вправе приостановить выполнение заказа до устранения нарушений, а при повторных нарушениях - поставить вопрос об аннулировании заказа и лицензии на проведение работ с использованием сведений, составляющих государственную тайну, и о привлечении виновных лиц к ответственности. При этом материальный ущерб, нанесенный исполнителем государству в лице заказчика, подлежит взысканию в соответствии с действующим законодательством.

ЗИ в чрезвычайных ситуациях:

Порядок оформления, задачи и основные направления деятельности специальной комиссии (внештатного подразделения, создаваемых приказом руководителя, для выработки мер по предупреждению чрезвычайных ситуаций);

Практические меры, направленные на недопущение нанесений ущерба вследствие чрезвычайных ситуаций. Анализ возможных угроз и различных факторов, которые могут привести к чрезвычайным ситуациям. Особое внимание следует уделить вопросам координации действий подразделений должностных лиц (Примечание: при планировании следует учитывать все виды и способы проявления чрезвычайных ситуаций, с этой целью разрабатываются самостоятельные планы по противодействию угрозам в случае возникновения чрезвычайной ситуации, при этом в отдельном приложении также указываются во-первых контактные данные каждого сотрудника, принимающего участие в ликвидации последствий, во-вторых очередность и порядок вызова всех сотрудников, участвующих в ликвидации последствий в зависимости от вида ситуации, а также сроки прибытия этих сотрудников, в-третьих обязанности каждого сотрудника и последовательность их выполнения, в-четвертых перечень сил и средств, привлекаемых к решению задач по ликвидации последствий, а также места стоянки и маршруты движения транспортных средств, эвакуирующих носители конфиденциальной информации, места сосредоточения, способы, порядок охраны эвакуируемых носителей и привлекаемые для охраны силы и средства.

Пропускной режим и охрана объектов предприятия:

В этом разделе указываются организационные предприятия по созданию и совершенствованию системы пропускного режима и охраны:

Разработка и переработка инструкций и положений. Подготовка приказов о вводе в действие или выводе из действия всех видов пропусков, образцы пропусков, порядок выдачи и тд. Подготовка приказов о назначении ответственных должностных лиц. Перечень мероприятий по материально техническому обеспечению.

Организация аналитической работы на предприятии:

Все виды обзоров и отчетов о состоянии дел в области защиты информации на предприятии, которые оформляются для руководства предприятия, а также для руководителей вышестоящих структур.

Мероприятия по формированию материалов, содержащих итоги работы предприятия и его подразделений по ЗИ для изучения всеми сотрудниками предприятия. Особое внимание в этом разделе уделяется аналитическим отчетам по итогам календарного месяца и календарного года, который готовит служба безопасности предприятия.

Примечание: При необходимости включения в план других мероприятий, которые не вошли в перечисленные разделы, они отражаются в отдельном 14м разделе, которые называются – Другие мероприятия.

Лекция номер 6. Обеспечение ИБ при использовании электронных документов

Цель занятия – рассмотрение аспектов обеспечения ИБ при использовании электронных документов.

Общие требования по обеспечению безопасности при использовании электронных документов:

Правовая защита информации это защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов, регулирующих отношения субъектов по защите информации, применение этих документов, а также надзор, и контроль за их исполнением.

Гост З50-922 – 2006 года. Особенности работы в фирме, компании с электронными документами, которые подписаны ЭЦП могут быть изложены в специальном локальном акте или информационно-справочном документе.

Типовой порядок работы с электронными документами, подписанными ЭЦП (До 1го июля 2012 года в соответствии с законом). Теперь закон об электронной подписи. Итак, подпись, образованная для электронных документов, чтобы сделать возможным обмен юридически значимыми электронными документами, и совершения электронных сделок. По сути ЭЦП – это электронная последовательность символов, которая передается в соответствии в результате чего авторство неизменность информации подтверждается подписью. При внесении любых изменений электронная подпись сразу же становится недействительной, и если такое внесение изменения было законным, то следует повторно сформировать такую

подпись. Следовательно получение ЭЦП под документом, отправителем позволяет быть уверенным в авторстве и содержании документа, который был отправлен по сети интернет. ЭЦП это информация, переданная или полученная пользователем информационно телекоммуникационной сети. Документированная информация, в виде пригодном для восприятия человека с использованием ЭВМ, а также для передачи по ИТКС и обработки по информационным системам. Закон 149ФЗ.

Электронная подпись это информация в электронной форме, которая присоединена к другой информации в электронной форме (Подписываемая информация). Или иным образом связанная с такой информацией, и которая используется для определения лица, подписывающего информацию(Федеральный закон об электронной подписи, статья 2).

Электронно-цифровая подпись – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученной в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП, и позволяющим идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

При этом закрытым ключом ЭЦП является уникальная последовательность символов, известная владельцу сертификата ключа подписи, и предназначенная для создания ЭЦП с использованием средств ЭЦП (ФЗ об ЭЦП).

Владелец сертификата ключа проверки электронной подписи – это лицо, которому в порядке, установленном законом об электронной подписи выдан ключ проверки ЭЦП.

Сертификат ключа проверки ЭЦП – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром, либо доверенным лицом удостоверяющего центра, и подтверждающие владельца сертификата ключа проверки ЭЦП.

В современных условиях правовое регулирование отношений в области использования электронной подписи в системах ведомственного и межведомственного электронного документооборота осуществляется на основании следующих законов и постановлений:

• Гражданский кодекс часть 4;

• ФЗ от 10 января 2010 года номер 1 ФЗ (Об эцп);

• 6 апреля 2011 года N 63-ФЗ;

• ФЗ 149.

• 754 о системе межведомственного электронного документооборота

• Постановление правительства РФ От 15 июня 2009 года н 447, об утверждении правил делопроизводства федеральных органов исполнительной власти.

• Технические требования к организации взаимодействия системы МЭД и системами электронного документооборота федеральных органов исполнительной власти (утверждено распоряжением правительства РФ от 2го октября 2009 года номер 1403-Р).

• Приказ мининформ связи России от 9 января 2008 года номер 1. Об утверждении требований по защите сети и связи от НСД к ним и передаваемой посредством их информации.

• Категории электронных документов по источнику их возникновения:

• Документы, созданные на основании получаемых от физических и юридических лиц клиентов, представленных в окончательно оформленном и действительном виде, (учредительные документы, доверенности, сертификаты, лицензии);

• Официальные документы органов государственной власти, то есть документы, содержащиеся в официальных информационных ресурсах(законы, указы, постановления, нормативные документы, распорядительные документы, которые содержатся в официальных информационных ресурсах);

• Документы, которые создаются в результате деятельности органов государственной власти и государственных учреждений(заключения, поручения, протоколы, решения);

• Документы, создаваемые в результате деятельности организации и другие ранее созданные информационные ресурсы правового или административного характера.

Категории электронных документов по их отношению к оригиналу:

• Электронный оригинал – это документ, изначально созданный в электронном виде, подписанный ЭЦП, для которого не существует бумажного исходного оригинала, подписанного тем же лицом;

• Электронный дубликат бумажного документа – это документ, произведенный в электронной форме вместе с идентичным бумажным документом, имеющим те же реквизиты, структуру и содержание, и подписанный ЭЦП того же лица, которое подписало оригинал бумажного документа. Электронные дубликаты бумажных документов создаются в случаях, когда одним пользователям требуются и бумажные и электронные экземпляры.

• Электронная копия бумажного документа – это электронный документ, полностью воспроизводящий информацию подлинного бумажного документа и его графическое изображение, заверенный в установленном порядке ЭЦП лица, которое является автором (составителем бумажного документа, или обладает полномочиями на заверение данного документа ЭЦП). Полномочия на заверение электронных копий бумажных документов в автоматизированной информационной системе предоставляются в порядке, который определяет владелец этой системы. А при использовании в системах межведомственного электронного документооборота соглашением сторон, участвующих в данном электронном взаимодействии. Электронные копии бумажных документов создаются в случаях, когда работа с заверенными электронными копиями бумажных документов не противоречат действующему законодательству и обеспечивают удобную обработку и использование информации, содержащейся в бумажных документах.

Способы создания электронных документов.

• Сканирование бумажного документа. Различают следующие виды сканирования, например сканирование бумажного документа без распознавания. Результатом такого сканирования является файл, содержащий растровое графическое изображение. Растровое изображение пригодно для просмотра образа документа с экранов, и для распечатки графического образа документа с сохранением расположения графических элементов. А также для возможного копирования графических элементов в целях создания других документов. Растровые графические изображения без этапа распознавания непригодны для какой-либо автоматизированной обработки содержательной части электронного документа.

• Сканирование бумажного документа с распознаванием. Результатом такого сканирования является файл, который содержит текст с повторением разметки страниц и формата шрифта, а также с возможными представлениями графических объектов, неподдающихся текстовому распознаванию (подпись, печать, герб). При автоматизированном распознавании возможна потеря данных, искажение формата шрифта, смещение расположения графических элементов. Распознанный текстовый электронный документ пригоден для частичной автоматизированной обработки текста. Распознанный текстовый электронный документ предоставляет возможность осуществлять копирование и редактирование фрагмента текста. Результатом сканирования формализованного бумажного документа с распознаванием полей, формы документа является структурированный файл, содержащий все сведения в виде пар (Название поля – значение поля).

• Ручной ввод текстовых данных. Создание текстового документа в редакторе автоматизированной информационной системы при непосредственном участии оператора. Результат ручного ввода – электронный текстовый документ, различают три вида ручного ввода. Первый вид – неформализованный ручной ввод данных(например email, ручной ввод данных без применения шаблона электронных сообщений) Без использования классификаторов.

• Электронный документ без внутренней структуры, такой документ пригоден для использования человеком при автоматизированном поиске ключевых слов по тексту документа. Также есть формализованный ручной ввод данных – это ручной ввод данных с применением шаблона с использованием общих классификаторов, словарей, справочников и других высоко структурированных общих информационных ресурсов. Результат формализованного ввода – это электронный документ со строгой внутренней структурой данных. Электронный документ со строгой внутренней структурой данных пригоден для интеграции и полного автоматизированного анализа данных.

• Автоматическая генерация электронных документов.

Планирование мероприятий по ООИБ хозяйствующего субъекта.

Цель занятия: Изучить основные приёмы.

Основные цели планирования мероприятий по ООИБ мероприятий ХС.

В современных условиях одно из самых важных направлений деятельности мероприятий осущ. Работу со сведениями конф характера. Планирование мероприятий по ЗИ занимает особое место в деятельности предприятий и его структурных подразделений.

ЗИ – это деятельность, направленная на предотвращение утечки защищаемой информации несанкционированных и непреднамеренных воздействий на ЗИ.

Основными целями по планированию информации являются:

Организация проведения комплекса мероприятий по ЗИ направленных на исключение возможных каналов утечки этой информации.

Установление персональной ответственности всех должностных лиц предприятия за решение вопросов ЗИ в ходе производственной и иной деятельности мероприятий.

Определение сроков времени, периода проведения конкретных мероприятий по ЗИ.

Систематизация и объединение всех проводимых на плановой основе мероприятий по ЗИ конф характера.

Установление системы контроля за обеспечение ЗИ на предприятии и системы отчётности о выполнении конкретных мероприятий.

Уточнение и конкретизация функций и задач, которые решают отдельные должностные лица предприятия и структурные подразделения.

Основой для планирования мероприятий ООИБ ХС служит:

Требования законодательных и других нормативно-правовых документов по ЗИ, нормативно-методических документов ФО исполнительной власти, а также выше стоящей организации или указания головного предприятия (для филиалов и представительств).

Требования заказчиков проводимых предприятием в рамках соответствующих контрактом работ.

Положения международных договоров и соглашений, а также других документов, которые определяют участие предприятия тех или иных формах международного сотруднечиства.

Положение внутренних локальных актов, которые определяют порядок ведения производственной и другой деятельности, а также конкретизируют вопросы ЗИ на предприятии.

Результаты комплексного анализа состояния дел в области ЗИ, которые проводятся службой безопасности или режимным подразделением на основании разделов филиалов предприятия.

Результаты проверок состояния ЗИ проведённых выше стоящих организаций ФО исполнительной власти в случае ведомственной проверки, а также уполномоченными федеральными органами исполнительной власти и заказчиками работ, а также выработанных на основании результатов этих проверок, рекомендаций, заключений.

Результатами контроля за состояние ЗИ в организации проводимого уполномоченными органами и другими контролирующими органами части их касающимися по направлению ЗИ.

Особенности повседневной деятельности предприятием и специфики выполнения на предприятии работ с использованием различным видом конфидициальной информации.

Особенности планирования мероприятий ООИБ ХС.

Планирование мероприятий по защите конф информации проводится одновременно с планированием основной производственной деятельности. Планирование может осуществляться на календарный год, месяц, неделю, а также на другой месяц обусловленный проведением важных мероприятий по видам деятельности мероприятий, если они связаны с вопросом конф характера. Планы мероприятий, которые разрабатываются на срок более одного календарного года относятся к стратегическим планам, остальные планы решают тактические задачи. В целях эффективного решения задач по ЗКИ в рамках наиболее важных и масштабных работ, а также в ходе реализации на предприятии федеральных целевых, государственных, ведомственных и других программ могут разрабатываться отдельные планы, которые будут называться – программа целевого планирования (реконструкция предприятия, внедрение новых технологий и т.п.)

Планы мероприятий по ЗИ относятся к документам с ограниченным доступом, учитываются и хранятся в службе безопасности или режимном подразделении. Порядок хранения устанавливается такой же, как и для других документов соответствующего грифа или степени доступа. Разработка планирующих действий ЗИ осуществляется службой безопасности или режимным подразделением, при этом обеспечивается обязательными взаимодействиями с подразделениями или отдельными должностными лицами, которые решают задачи непосредственно касающиеся вопросов ЗИ. При подготовке планов учитывается предложение структурных подразделений, которые занимаются производственной, финансовой, экономической, хозяйственной деятельностью.

Характеристика структуры планов мероприятий по ЗИ.

План утверждается руководителем, до начала года на который он разрабатывается. При необходимости план согласовывается с соответствующим органом безопасности. Утверждённый план доводится под расписку заместителей руководителя предприятия , структурных подразделений, а также отдельных должностных лиц, которые отвечают за проведение указанных в алане мероприятий. Типовой план содержит типовые разделы:

Организационная работа руководства предприятия.

Подготовка персонала по вопросу обеспечения ИБ.

Контроль организации ЗИ и наличия носителей ограниченного распространения.

Допуск и пропуск к наличии ограниченных носителей.

Организация и ведение конф. Дело-производства.

ЗИ при осуществлении рекламы.

ЗИ при использовании технических средств.

ЗИ в ходе осуществления международного сотрудничества.

ЗИ при выезде сотрудника допущенных к конф. Информации.

ЗИ привыполнение совместных и других работ.

ЗИ в чрезвычайных ситуациях.

Пропускной режим и охрана объектов информации.

Организация аналитической работы на предприятии.

Каждый начальник отвечает за то, что знает подразделение. Контроль за выполнение конкретных мероприятий включённых в план осуществляется руководителем предприятия и его заместителем по безопасности. Служба безопасности или режимное подразделение осуществляет контроль за организации и информирует.

Основное содержание разделов главных мероприятий по ЗИ.

В 1 разделе разбираются вопросы разработки организационно-контролирующих документов в ходе повседневной деятельности. Доклады и донесения ЗИ. Подготовка и издание приказов руководителя предприятия по различным вопросам в области ЗИ ограниченного распространения. Переработка и издание основных заданий сотрудников и другие вопросы касающиеся организационной работы руководства.

Во 2 разделе указывается организация и проведение занятий со всеми категориями сотрудников предприятия с учётом специфики выполняемой ими работой. Изучение положений нормативной-методических документов в области ЗИ и при необходимости доведения их требований под расписку. Принятие зачётов и проведение занятий с прибывшими или назначенными на должность сотрудников.

В 3-ем разделе описывается организация и проведение всех видов проверок состояния ЗИ и наличие носителей КИ и информации различного доступа. Особое внимание уделяется планированию проводимых по окончанию года мероприятий по проверке носителя информации ограниченного доступа комиссии предприятия. Примечание:

Для предприятий работающих со сведениями содержащих гос тайну проведение таких мероприятий со сроком опр. В нормативно-правовых актах по обеспечению режима секретности.

При наличии у предприятий, подчинёных филиалов также планируются проверки состояния ЗИ комиссиями головного предприятия.

В 4-ом указываются мероприятия касающиеся разработки , переработки и согласования номенклатуры должностей, подлежащих оформлению на допуск в сведения составляющие гос тайну. Вопросы оформления и переоформления документов на допуск к государственной тайне сотрудников организаций, в том числе контрактов, трудовых договоров и карточек на допуске. Разработка и переработка списка лиц допускаемого к определённым работам. Мероприятия направленные на разграничение допуска к носителям КИв зависимости от степени их секретности или конфидициальнсоти а также в зависимости от тематики проводимых работ.

В 5-ом указываются мероприятия непосредственно касающиеся деятельности службы безопасности или режимно-секретного подразделения предприятия, а также специально создаваемых на предприятии комиссий по отбору конф. Документов и материалам личного хранения, пересмотра степени секретности или конф. Материала, инструктажу лиц убывающих с носителями конф. Информации за пределы предприятия.

В 6-ом указывается мероприятия связанные с работой экспертной комиссии по принятию решений о публикации научных мероприятий, информации о деятельности организации, использовании этих данных, а также мероприятия осуществляемые по подготовке материалов для открытого печатания.

В 7-ом указываются организационные мероприятия по подготовке и вводу в эксплуатации объектов информатизации обрабатывающих информацию с ограниченным доступом, мероприятия по технической ЗИ, мероприятия по ЗИ от НСД и утечки по техническим каналам. Проводимая работа должностных лиц по ПД ТР( противодействие действиям технических действий). Указываются мероприятия по предотвращению утечки информации при использовании средств открытой связи.

В 8-ом указываются мероприятия по ЗИ при подготовке и реализации международных договоров, а также при приёме иностранных делегатам. Также в этом разделе указываются распределение функций по ЗИ между структурными подразделениями и должностными лицами международного сотрудничества.

В 9-ом если предприятие работает со сведениями гос. Тайны планирование организации осуществляется в:

В соответствии с другими нормативными доками

В 10-ом указываются мероприятия направленные на исключение утечки конф. Информации при выполнении совместных работ. Порядок и условия отображения договора в вопросах ЗИ и содержание соответствующих пунктов. Особенности проведения работ в гос. Заказе.

В 11-ом порядок и задачи, основные направления деятельности специальной комиссии, создаваемого руководителями по выявлению уязвимостей. Практические меры направленные на недопущение нанесения ущерба в следствии чрезвычайной ситуации.

Лекция номер 7. Организационное обеспечение допуска предприятия к проведению работ, составляющих ГТ.

Основные положения допуска предприятия к деятельности в области защиты гос. тайны.

Допуск к ГТ – процедура оформления граждан на доступ к сведениям составляющим государственную тайну, а предприятия организация и учреждения на проведение работ с использованием таких сведений. Обязана получить лицензию на осуществлении соответствующей деятельности. Порядок описан в ФЗ. Только после получения лицензии на проведение работ, со сведениями соответствующей степени секретности на предприятии могут осуществлять такую деятельность. Законом о ГТ установлены следующие виды деятельности, подлежащей лицензированию:

Проведение работ, со сведениями составляющими ГТ

Проведение работ, связанных с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны.

Проведение работ, связанных с созданием средств защиты информации.

При этом, под средствами защиты информации понимают:

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну.

Средства, в которых они реализованы

Средства контроля эффективности защиты информации.

В РФ лицензирование деятельности по проведению работ, связанных с использованием ССГТ, создание СЗИ, а также осуществлением мероприятий и/или оказанием услуг по защите государственной тайны регламентируются соответствующим постановлением правительства РФ от 15 апреля 1995 года номер 333. Данное положение, которое утверждено постановлением которое устанавливает порядок лицензирования по трем видам деятельности.

Лицензия является официальным документом, которая разрешает осуществление на определенных условиях конкретного вида деятельности в течение установленного срока.

Лицензия действительна на всей территории РФ а также учреждения расии за границей. Органами, уполномоченными на ведение лицензионной деятельности(выдаче лицензий) являются:

По допуску предприятий к проведению работ, связанных с использованием сведений, составляющих ГТ ФСБ (на территории страны) и СВР за рубежом.

На право проведение работ, связанных с созданием СЗИ ФСТЭК, СВР, Минобороны и ФСБ (в пределах их компетенции)

На право осуществления мероприятий и/или оказанием услуг в области защиты ГТ. – Фсб и её территориальные органы, ФСТЭК, СВР(в пределах их компетенции)

Лицензирование видов деятельности предприятий минобороны, свр, фстэк по допуску к проведению работ, связанных с использованием сведений, составляющих ГТ а также с осуществлением мероприятий и или оказанием услуг по защите ГТ, осуществляется руководителями федеральных органов исполнительной власти, которой подчинены указанные мероприятия.

Лицензия на проведение указанных работ выдается на основании результатов:

Специальные экспертизы предприятия, учреждения или организации.

Государственная аттестация их руководителей, ответственных за обращение со сведениями, составляющими ГТ. Расходы в связи с аттестацией за счет предприятия, получающего лицензию.

Лицензия на проведение работ с использованием сведений, составляющих государственную тайну выдается юридическому лицу при выполнении им следующих условий:

Выполнение требований нормативных документов, утверждаемых правительством россии по обеспечению защиты сведений, составляющих ГТ в процессе выполнения работ, связанных с использованием указанных сведений.

Наличие в структуре юридического лица подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации количеством и уровнем квалификации которых достаточно для обеспечения защиты ГТ на данном предприятии.

Наличие у юридических лиц сертифицированных СЗИ.

Порядок сертификации средств защиты информации

СЗИ должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Степень секретности сведений – должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности россии в средствие распространения указанных сведений. Устанавливается три степени секретности и соответствующие этим степеням грифы секретности для носителей. Гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе или сопроводительной документации на него.

К сведениям особой важности следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной, оперативно-розыскной деятельности, распространение которых может нанести ущерб РФ в одной или нескольких из перечисленных областей.

К совершенно секретным сведениям следует относить сведения в области, распространение которых может нанести ущерб интересам министерства ведомства или отрасли экономики россии в одной или нескольких перечисленных областей. К секретным сведениям следует относить все иные сведения, из числа сведений, составляющих ГТ. Ущербом безопасности россии в этом случае считается ущерб, нанесенный интересам предприятиям, учреждениям или организации в этих семи областях деятельности.

Порядок определения размеров ущерба, который может быть нанесен безопасности россии, и правила отнесения указанных сведений к той или иной степени секретности устанавливаются правительством.

Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к ГТ не допускается.

Организация сертификации СЗИ возлагается на ФСТЭК, ФСБ и минобороны в соответствии с функциями, возложенными на них законодательством. Процедура сертификации осуществляется на основании требований государственных стандартов России. На основании стандартов и других нормативных документов, утверждаемых правительством Рф. В настоящее время действует положение о сертификации СЗИ(постановление правительства от 26 июня 1995 года номер 608).

В настоящее время действует Положение о сертификации средств защиты информации (Постановление правительства от 26 июня 1995 года №608). Все средства, которые предназначены для защиты государственной тайны, подлежат обязательной сертификации, которая проводится в рамках действующих систем сертификации. При этом, криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ. Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам.

Участниками сертификации средств защиты информации являются:

Федеральный орган по сертификации;

Центральный орган системы сертификации (создается по необходимости). Этот орган возглавляет системы сертификации оборонной продукции;

Органы по сертификации средств защиты информации. Это органы, проводящие сертификацию определенной продукции;

Испытательные лаборатории. Это лаборатории, которые проводят сертификационные испытания или отдельные виды этих испытаний определенной продукции;

Изготовители, продавцы продукции, исполнители продукции

Системы сертификации в России создаются следующими органами исполнительной власти: ФСТЭК, ФСБ, Министерство Обороны. Эти органы уполномочены проводить работы по сертификации средств защиты информации в пределах своей компетенции, устанавливаемые законодательством РФ. Эти органы называются федеральными органами по сертификации.

Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утвержденных правительством и документов, утверждаемых федеральными органами по сертификации в пределах их компетенции. Например, СЗИ-ГТ ФСБ. Каждая системе сертификации разрабатываются и согласовываются с межгосударственной комиссией с положениями по сертификации, а также перечень средств защиты информации, подлежащие сертификации и требования, которым они должны удовлетворять Эта комиссия осуществляет координацию всех работ. Межведомственная комиссия – это коллегиальный орган, который координирует деятельность федеральных органов государственной власти и органов государственной власти субъектов РФ по защите государственной тайны. В интересах разработки и выполнения государственных программ, нормативно-правовых актов и методических документов, обеспечивающих реализацию федерального законодательства о государственной тайне. Руководство деятельностью осуществляет Президент. В состав МВК входят председатель (Нарышкин), заместители председателя, ответственный секретарь. Заместитель председателя обеспечивает:

Контроль за выполнением решений МВК;

По поручению председателя МВК докладывает председателю Правительства по определенным вопросам;

Организует выполнение МВК поручений Правительства.

Алгоритм работы лицензирующего органа

На орган, уполномоченный на ведение лицензионной деятельности, связанной с использованием сведений, составляющих государственную тайну, возлагается выполнение следующих функций:

• Организация лицензирования деятельности предприятия

• Организация специальных экспертиз;

• Рассмотрение заявлений предприятия о выдаче лицензий;

• Принятие решений о выдаче или об отказе выдачи лицензии;

• Выдача лицензий;

• Принятие решений о приостановлении действия лицензии или об ее аннулировании;

• Разработка нормативно-методических документов по вопросам лицензирования;

• Привлечение в случае необходимости, представителей министерств и ведомств для проведения специальных экспертиз;

• Ведение реестра выданных, приостановленных и аннулированных лицензий

Для получения лицензии заявитель представляет в лицензирующий орган ряд документов:

Заявление о выдаче лицензии, в котором указано:

Наименование и организационно-правовая форма предприятия;

Местонахождение;

Адреса осуществления лицензируемого вида деятельности;

Номера расчетного счета в банке и наименование банка;

Вид деятельности, на осуществление которого должна быть выдана лицензия;

Срок действия лицензии;

Степени секретности сведений, составляющих государственную тайну, с которыми заявитель предполагает осуществлять работы. Причем эта степень должна быть подтверждена органом государственной власти (например РосАтом) или организацией, наделенными полномочиями по распоряжению указанными сведениями;

Копии учредительных документов, заверенные нотариусом;

Копия документа, подтверждающего факто внесения записи о юридическом лице в единый государственный реестр юридических лиц;

Копии документов, подтверждающих права собственности или иное законное основание на владение и использование имущества, необходимого для осуществления заявленного вида деятельности на срок действия лицензии;

Копия свидетельства о постановке на налоговый учет, заверенная нотариусом;

Документ, подтверждающий уплату государственной пошлины за предоставление лицензии;

Сведения о наличия допуска к государственной тайне у руководителя предприятия, а также сведения о наличии в уставном капитале предприятия долей иностранных физических или юридических лиц при подаче заявления о проведении работ, связанных с использованием сведений, составляющих государственную тайну;

Копия договора об оказании услуг (в случае использования заявителем услуг структурного подразделения по защите государственной тайны другой организацией).

Орган, уполномоченный на ведение лицензионной деятельности, принимает решение о выдаче или об отказе в течение 30 дней со дня получения заявления со всеми документами. В случае необходимости проведения дополнительной экспертизы, решение принимается в срок 15 дней после получения заключения экспертизы, но не позднее 60 дней со дня подачи заявления и пакета документов. В зависимости от сложности и объема подлежащих специальной экспертизе материалов, руководитель лицензирующего органа может продлить срок принятие решения о выдаче или отказе выдачи с 15 до 30 дней.

Срок действия лицензии устанавливается в зависимости специфики вида деятельности, но не более, чем на 5 лет.

По просьбе заявителя, лицензия может выдаваться на срок, меньший 5 лет.

Срок действия лицензии, выданной на предприятии, не может превышать срока действия лицензии предприятия, структурные подразделения по защите государственной тайны которого оказывают услуги по защите государственной тайны.

Продление срока действия лицензии производится в порядке, установленном для его получения. В случае, если лицензируемый вид деятельности осуществляется подразделениями по нескольким адресам, то предоставление права таким подразделениям производится с учетом результатов специальной экспертизы. Лицензия оформляется на бланке, имеющем степень защиты на уровне степени защиты ценной бумаги. Копия лицензии хранится в лицензирующем органе

4й вопрос. Организационное обеспечение проведения государственной аттестации руководителей предприятия

Государственную аттестацию руководителей предприятия организуют лицензирующие органы, а также органы государственной власти, руководители который наделены полномочиями по отнесению к государственной тайне сведений, касающихся деятельности подведомственных им предприятий. Государственную аттестацию также организуют ФСБ и ее территориальные органы на территории России, СВР за рубежом, ФСТЭК, а также органы государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне (в пределах их компетенции). Методические рекомендации по организации и проведению государственной аттестации руководителей предприятий разрабатывает МВК по защите государственной тайны. Расходы на государственную аттестацию относятся на счет предприятия.

Перечисленные государственные органы могут разрабатывать свои положения о государственной аттестации руководителей, учитывающие специфику этих предприятий.

Государственная аттестация проводится в целях оценки уровня их знаний, необходимых для организации на предприятии защиты сведений, составляющих государственной тайны (наиболее полная программа у ФСТЭК).

Государственная аттестация проводится методом собеседования. Как правило, ее осуществляет аттестационная комиссия, создаваемая для проведения спец экспертизы на предприятии. Аттестуемое лицо обязано знать:

Основные требования нормативно-методических документов по режимам секретности, противодействию техническим разведкам, защите информации от утечки по техническим каналам и условия их выполнения;

Порядок организации защиты государственной тайны на предприятии

Результаты государственной аттестации руководителя предприятия включаются в акт проведения специальной экспертизы или оформляют отдельным актом, который представляют экспертной комиссии при проведении экспертизы предприятия. Эти результаты учитываются при принятии решения о выдаче предприятию лицензии на проведение работ, связанных с использованием сведений, составляющих государственную тайну. При освобождении от занимаемой должности, аттестованного в ходе лицензирования предприятия руководителя вновь назначенный руководитель предприятия должен пройти государственную аттестацию не позднее трехмесячного срока после назначения на эту должность. От государственной аттестации освобождаются руководители предприятий, имеющие свидетельства об окончании учебных заведений, уполномоченных осуществлять подготовку специалистов по вопросам защиты информации, составляющей государственную тайну. Перечень указанных учебных заведений утверждается МВК по защите государственной тайны по представлению органов, уполномоченных на ведение лицензионной деятельности.

6й вопрос. Организационное обеспечение предоставления социальных гарантий гражданам, допущенным к государственной тайне на постоянной основе и сотрудникам структурных подразделений по защите государственной тайны.

Предоставление социальных гарантий осуществляется в соответствии со статьей 4 закона РФ о государственной тайне. Гражданам, которые работают в организации и занимают должности, связанные с использованием сведений, составляющих государственную тайну, выплачиваются ежемесячные процентные надбавки. Размер ежемесячной процентной надбавки за работу со сведениями:

имеющими степень «особая важность» составляют 50%-100%,

совершенно секретно – 30%-50%,

«секретно» при оформлении допуска с проведением проверочных мероприятий – 10%-15%,

без проведения проверочных мероприятий -5%-10%

При определении размера ежемесячной процентной надбавки учитывается объем сведений, к которым указанные граждане имеют доступ, а также продолжительность срока, в течение которого сохраняется актуальность засекреченных сведений. Ежемесячная процентная надбавка выплачивается за счет специального фонда. Сотрудникам структурных подразделений дополнительно к ежемесячной процентной надбавке, предусмотренной в зависимости от степени секретности, выплачивается дополнительная надбавка за стаж работы в структурных подразделениях по защите государственной тайны.

1-5 лет 10%;

5-10 лет 15%;

10 и выше 20%.

В стаж работы сотрудников структурных подразделений по защите государственной тайны, дающий право на получение указанной надбавки, включается время в структурных подразделениях по защите государственной тайны в других органах государственной власти, органов местного самоуправления и организаций. Данные социальные гарантии предусмотрены постановлением правительства от 18 сентября 2006 года №573 «о предоставлении социальной гарантии гражданам, допущенным к государственной тайне на постоянной основе и сотрудникам структурных подразделений по защите государственной тайны» (с изменениями от 6 июня 2008 года).