РУКОВОДСТВО
ПО ЗАЩИТЕ ИНФОРМАЦИИ ОТ ТЕХНИЧЕСКИХ РАЗВЕДОК
И ОТ ЕЕ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ
Типовые требования к содержанию Руководства определены в решении Гостехкомиссии Российской Федерации от 03.10.1995 N 42.
Основное содержание Руководства по защите информации
1. Руководство должно состоять из следующих разделов:
общие положения;
охраняемые сведения в организации;
демаскирующие признаки охраняемых сведений и технические каналы утечки информации;
оценка возможностей технических разведок и других источников угроз безопасности информации (в т.ч. возможностей спецтехники, используемой преступными группировками);
организационные и технические мероприятия по защите информации;
оповещение о ведении разведки (раздел включается в состав Руководства при необходимости);
обязанности и права должностных лиц по защите информации;
планирование работ по защите информации и контролю;
контроль состояния защиты информации;
аттестование рабочих мест;
взаимодействие с другими предприятиями (учреждениями, организациями), ГТК, ФСБ и т.д.
В зависимости от особенностей организации допускается вводить и другие разделы.
1.1. В разделе «Общие положения» указывается назначение Руководства, приводятся общие требования по защите информации в организации, указывается категория организации по требованиям обеспечения защиты информации, указываются должностные лица, ответственные за выполнение требований Руководства, определяется порядок финансирования работ по защите информации в организации, приводятся сведения о полученной лицензии на допуск к работе со сведениями, составляющими государственную тайну, и об имеющихся сертифицированных средствах защиты информации.
1.2. В разделе «Охраняемые сведения в организации» указывается конкретная цель, которая должна быть достигнута в результате проведения мероприятий по защите информации (охраняемых сведений) в организации, замысел достижения этой цели и приводится перечень охраняемых сведений (без указания конкретных числовых параметров).
1.3. В разделе «Демаскирующие признаки охраняемых сведений и технические каналы утечки информации» указываются демаскирующие признаки, которые раскрывают охраняемые сведения в организации, в том числе демаскирующие признаки, возникающие в связи с использованием средств обеспечения ее деятельности. Приводятся возможные технические каналы утечки охраняемых сведений, включая каналы утечки информации в технических средствах ее обработки.
1.4. В разделе «Оценка возможностей технических разведок и других источников угроз безопасности информации» приводится перечень видов и средств технической разведки, источников угроз несанкционированного доступа к информации, которые опасны для данной организации, в том числе со стороны преступных группировок и результаты оценки их возможностей: по обнаружению (определению) демаскирующих признаков, раскрывающих охраняемые сведения; по перехвату информации, циркулирующей в технических средствах ее обработки; по перехвату речевой информации из помещений; по получению, разрушению (уничтожению), искажению или блокированию информации в результате несанкционированного доступа к ней.
При оценке используется частная модель угроз для организации, методики оценки возможностей иностранной технической разведки и другие документы по этому вопросу.
1.5. В разделе «Организационные и технические мероприятия по защите информации» приводятся:
— организационные и технические мероприятия, обеспечивающие устранение или ослабление (искажение) демаскирующих признаков и закрытие возможных технических каналов утечки охраняемых сведений в организации;
— мероприятия по защите информации об иной создаваемой (применяемой) продукции и технологиях;
— мероприятия по защите информации при постоянном контролируемом и неконтролируемом нахождении иностранных граждан как на территории организации, так и в непосредственной близости от нее;
— мероприятия по защите информации в системах и средствах информатизации и связи.
При нахождении на территории организации других организаций (предприятий), арендующих у нее помещения, требования по защите информации в организации должны быть включены в договор аренды.
1.6. В разделе «Оповещение о ведении разведки» указывается порядок получения, регистрации и передачи данных о пролетах разведывательных спутников, самолетов иностранных авиакомпаний, нахождении иностранных судов в открытых портах, местах, маршрутах и времени проведения иностранных инспекций в соответствии с международными договорами, посещении организации иностранными представителями, появлении в районе ее расположения иностранных граждан, подозреваемых в ведении разведки. А также приводятся внутренняя схема оповещения и действия должностных лиц при оповещении.
1.7. В разделе «Обязанности и права должностных лиц по защите информации» определяются должностные лица подразделений организации, ответственные за разработку, обеспечение и выполнение мероприятий по защите информации, их функциональные обязанности и права, приводится структурная схема взаимодействия подразделений по защите информации с соответствующими основными подразделениями данной организации.
1.8. В разделе «Планирование работ по защите информации и контролю» указываются руководящие документы для планирования работ по защите информации, требования к содержанию планов, приводится порядок разработки, согласования, утверждения и оформления планов, устанавливается порядок отчетности и контроля за выполнением планов.
1.9. В разделе «Контроль состояния защиты информации» указываются задачи контроля, перечень органов и подразделений, имеющих право проверки состояния защиты информации в организации, привлекаемые силы и средства контроля, порядок привлечения (при необходимости) к этой работе специалистов основных подразделений организации, устанавливаются периодичность и виды контроля, порядок оформления результатов контроля, определяются действия должностных лиц по устранению нарушений норм и требований по защите информации и порядок разработки мероприятий по устранению указанных нарушений.
1.10. В разделе «Аттестование рабочих мест» указываются подразделения или должностные лица, ответственные за аттестование рабочих мест, стендов, вычислительных комплексов, выделенных помещений и т.д., приводится форма документирования результатов аттестования и порядок выдачи разрешения на проведение работ с секретной информацией, а также порядок и периодичность их переаттестования.
1.11. В разделе «Взаимодействие с другими предприятиями (учреждениями, организациями)» указываются порядок взаимодействия в области защиты информации с предприятиями (учреждениями, организациями) при выполнении совместных работ, применяемые совместные организационные и технические мероприятия по защите информации, ответственность, права и обязанности взаимодействующих сторон, а также приводится структурная схема взаимодействия.
2. В приложения к Руководству включаются:
таблицы, схемы, графики, расчеты, исходные данные и другие справочные материалы для оценки обстановки, определения мероприятий по защите информации;
порядок организации и проведения работ по защите конфиденциальной информации;
перечень сведений, подлежащих защите;
план организации с указанием схем размещения рабочих мест, стендов и т.д., схем организации связи и сигнализации объекта;
структура системы защиты информации в организации;
перечень руководящих, нормативных и методических документов по защите информации.
В приложения могут включаться и другие документы.
Скачать документ целиком в формате PDF
Приказ Ростехнадзора от 06.10.2006 N 873
«Об утверждении и введении в действие Типовой инструкции о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций Федеральной службы по экологическому, технологическому и атомному надзору»
(вместе с «Типовой инструкцией… РД-21-02-2006»)3.7.2. В соответствии с Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам <*> в территориальном органе (подведомственной организации) разрабатывается Руководство по защите информации от технических разведок и от ее утечки по техническим каналам (далее — Руководство), содержание которого приведено в Приложении N 12 к настоящей Инструкции.
Руководство По Технической Защите Информации
Защита информации, обрабатываемой с использованием технических средств. Научно- техническое руководство и непосредственную организацию.
В соответствии с требованиями Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденного постановлением Совета Министров — Правительством Российской Федерации от 15 сентября 1993 г. N912-51, на каждом объекте, на котором предусматривается защита информации от технических разведок и от ее утечки по техническим каналам должно быть разработано Руководство по защите информации от технических…
4.5.1 Мероприятия по защите технических и программных средств системы от НСД Мероприятия по защите технических и программных средств системы от НСД предназначены для защиты от угроз: а) конфиденциальности (обеспечению санкционированного доступа); б) целостности технических средств, программ и данных (информационного обеспечения); в) доступности данных для незарегистрированных пользователей. 4.5.1.1 Организация комплекса мероприятий по защите от НСД Комплекс мероприятий по обеспечению защиты от НСД организован на уровнях: а) организационном (организационные мероприятия по обеспечению защиты от НСД); б) техническом (реализация механизмов защиты программно-техническими средствами). 4.5.1.2 Организационный уровень защиты от НСД На организационном уровне предусмотрены: — служба, отвечающая за защиту от НСД, распределение обязанностей; — комплекс профилактических мер (предупреждение появления вирусов, предупреждение неумышленных действий, ведущих к НСД); — правила доступа сторонних организаций к ресурсам; — организация доступа пользователей и персонала к ресурсам; — регламентирование: 1. удаленного доступа в АС «…»; 2. использования открытых ресурсов (сети Интернет); 3. использования сертифицированного ПО и т.д. Организация работы персонала в целях обеспечения защиты от НСД предусматривает: — внесение в должностные инструкции персонала соответствующих разделов; — обучение персонала соблюдению режима защиты от НСД, правильному обращению с информационными ресурсами; — регламент взаимодействия с представителями сторонних организаций. 4.5.1.3 Технический уровень защиты от НСД На техническом уровне защиты от НСД предусмотрены: а) применение технических средств, обеспечивающих защиту от несанкционированного доступа к изменению параметров; б) контроль за целостностью пломб; в) контроль за состоянием информационных и силовых кабелей; г) управление доступом к информации и сервисам, включая требования к разделению обязанностей и ресурсов; д) регистрация значительных событий в журнале для целей повседневного контроля или специальных расследований; е) проверка и обеспечение целостности данных на всех стадиях их обработки; ж) защита данных от несанкционированного доступа; з) использования средств шифрования; и) резервное копирование критически важных данных; к) восстановление работы АС «…» после отказов; л) защита от внесения несанкционированных дополнений и изменений. 4.5.1.3.1 Организация доступа для работы Организация доступа для работы в АС «…» осуществляется выполнением следующих задач: а) управления пользовательскими паролями; б) управления привилегиями; в) регистрации пользователей; г) пересмотра прав доступа пользователей. 4.5.1.3.2 Организация контроля за соблюдением мер защиты от НСД Организация контроля за соблюдением мер защиты от НСД обеспечивается выполнением следующих мероприятий: а) администрированием АС «…»; б) антивирусной защитой; в) протоколированием ручного ввода данных; г) контролем доступа в помещения, в которых располагаются критически важные или уязвимые элементы ПТК; д) регистрацией событий, чрезвычайных ситуаций, режимов работы АС «…»; е) слежением за корректным использованием сервисов; ж) защитой оборудования пользователей, оставленного без присмотра; з) определением допустимого времени простоя терминалов и его контроль; и) введением ограничений на длительность периодов подключения пользователей к АС «…»; к) ограничением доступа к носителям информации и их защита; л) организацией доступа к документации АС «…». 4.5.1.4 Мероприятия по защите программных средств Мероприятиями по защите программных средств предусмотрен многоуровневый доступ к ПО технических средств с разграничением прав пользователей с помощью паролей. Средства защиты от НСД обеспечивают: а) гарантированное разграничение доступа пользователей и программ пользователей к информации, включая разграничение доступа по рабочим местам; б) обнаружение и регистрацию попыток нарушения разграничения доступа; в) автоматизированную идентификацию пользователей и эксплуатационного персонала при обращении к ресурсам АС «…»; г) управление доступом персонала и программных средств к томам, каталогам, файлам, базам данных, таблицам баз данных и другим ресурсам баз данных в соответствии с условиями разграничения доступа; д) регистрацию входа (выхода) пользователей в АС «…», обращений к ресурсам и фактов попыток нарушения доступа; е) протоколирование действий пользователей АС «…», включая доступ из внешних систем. Корректировка и удаление записей и всего протокола запрещены; ж) запрет на несанкционированное изменение конфигурации комплексов; з) обнаружение, идентификацию и удаление компьютерных вирусов. 4.5.1.5 Мероприятия по защите программных средств и информационного обеспечения АС «…» является информационной системой на базе использования сетей общего пользования для обмена информацией на различных уровнях иерархии, как средство организации взаимодействия между территориально распределенными ПТК. В указанной ситуации возникает необходимость обеспечения доступности части корпоративных информационных ресурсов извне, а также ресурсов внешних открытых сетей для внутренних пользователей АС «…». Остро встает проблема контроля информационного взаимодействия с внешним миром и обеспечения защиты АС «…» от угроз информационной безопасности извне. Для разграничения доступа к ресурсам и контроля информационных потоков между защищаемой сетью субъекта и внешними сетями, а также между сегментами корпоративной сети, используются специальные средства защиты — межсетевые экраны (МЭ). МЭ предназначен для защиты внутреннего информационного пространства ПТК (в том числе территориально распределенных) при информационном взаимодействии с внешним миром в соответствии с принятой политикой информационной безопасности. МЭ устанавливается на границе между защищаемой сетью ПТК и внешними сетями, а также между сегментами защищаемой сети (разного уровня конфиденциальности или служащих для решения различных задач и потому требующих изоляции) и осуществляет контроль входящих/исходящих информационных потоков на основе заданных правил управления доступом. Основные функции МЭ по обеспечению информационной безопасности ПТК перечислены ниже: а) контроль входящих/исходящих информационных потоков на нескольких уровнях модели информационного обмена ISO/OSI; б) идентификация и аутентификация пользователей с защитой от прослушивания сетевого трафика; в) трансляция сетевых адресов и сокрытие структуры защищаемой сети; г) обеспечения доступности сетевых сервисов; д) регистрация запросов на доступ к ресурсам и результатам их выполнения; е) обнаружение и реагирование на нарушения политики информационной безопасности. Перечисленные выше методы защиты программных, технических и информационных средств от НСД обеспечиваются применением: — общего и специального программного обеспечения (службы авторизации и аутентификации), установленного на серверах и АРМ пользователей; — ПО СУБД; — технологического антивирусного ПО, установленного на АРМ пользователей; — встроенных брандмауэров Cisco IOS (в части доступа из внешних систем); — брандмауэра iptables (в части доступа к подсистеме биллинга). 4.5.1.6 Выявление утечки информации Для выявления утечки информации должны проводиться перечисленные ниже мероприятия: а) сбор и анализ информации о подключениях внутренних пользователей к ресурсам, расположенным за пределами объектов автоматизации, и внешних пользователей к ресурсам АС «…»; б) проверка журналов событий АС «…» (в части безопасности), позволяющих определить, имели ли место попытки несанкционированного доступа к службам АС «…»; в) контроль входящего и исходящего трафика с помощью специализированного антивирусного программного обеспечения, а также запускаемого программного обеспечения на наличие вирусов. 4.5.1.7 Предотвращение утечки информации Для предотвращения утечки информации должны проводиться перечисленные ниже мероприятия: а) блокирование любых попыток подключения к службам АС «…», предпринимаемых незарегистрированными пользователями; б) блокирование запуска всего программного обеспечения, зараженного компьютерными вирусами; в) проверка всей входящей и исходящей почты на наличие вирусов и, в случае обнаружения, реализация мер по их «лечению». Если «лечение» невозможно, данное почтовое сообщение должно быть удалено и вместо него отправлено уведомление о возникшей ситуации. 4.5.1.8 Поддержание надлежащего уровня обеспечения безопасности Для поддержания надлежащего уровня обеспечения безопасности АС «…» должны проводиться перечисленные ниже мероприятия: а) поддержание связей с производителями используемого программного обеспечения для своевременного получения обновлений и получения ответов на вопросы, которые могут возникнуть в ходе эксплуатации АС «…»; б) отслеживание новостей, публикуемых в печатных и электронных (Интернет) изданиях, на предмет появления новых возможностей обхода системы безопасности объектов автоматизации; в) периодическое тестирование системы безопасности; г) изучение и внедрение новых технологий, повышающих безопасность АС «…».
1. Утвердить руководство по защите информации от технических разведок и от ее утечки по техническим каналам в Постоянном представительстве.
Приложение N 12 (обязательное) Руководство по защите информации от технических разведок и от ее утечки по техническим каналам.
Руководство по защите информации в организации
Непосредственное руководство работой подразделения по защите информации осуществляет заместитель руководителя Департамента.
Руководство разрабатывается на каждом (объекте), на котором предусматривается защита информации от технических разведок и от.
Комментарии (0)Просмотров (163)
Система технической защиты информации в органах государственной власти (организациях)
1. Структура, задачи и функции системы технической защиты информации в
органах государственной власти (организациях).
2. Организационно — распорядительные документы по защите информации в организации.
Иностранная техническая разведка (ИТР) — деятельность иностранного
государства по добыванию разведывательной информации с помощью технических
систем, средств и аппаратуры. Основная цель ее деятельности –
информационное превосходство в информационном пространстве.
Классификация технических разведок:
- в зависимости от носителей средств технической разведки:
- наземная;
- морская;
- воздушная;
- космическая.
- в зависимости от применяемых средств технической разведки:
- видовая;
- сигнальная;
- специальная.
- в зависимости от средства технической разведки:
- стационарная;
- автономная автоматическая;
- портативная – носимая и возимая.
Аппаратура технической разведки – совокупность технических устройств
обнаружения, приема, регистрации, измерения и анализа, предназначенная для
получения разведывательной информации. Всего насчитывается
28 видов ИТР —
визуальная оптическая разведка (ВЗОР), оптико-электронная разведка (ОЭР)
фотографическая разведка (ФР), радиоэлектронная разведка (РЭР), техническая
компьютерная разведка (ТКР), акустическая разведка (АР), гидроакустическая
разведка (ГАР) и др.
1. Структура, задачи и функции системы технической защиты информации в
органах государственной власти (организациях).
Основным нормативным документом в области технической защиты информации в
органах государственной власти является
Положение о государственной системе
защиты информации в Российской Федерации от иностранных технических
разведок и от её утечки по техническим каналам, утвержденное постановлением Совета
Министров – Правительства Российской Федерации от 15 сентября 1993 г. №
912-51. (Положения о ГСЗИ).
Главной целью
защиты информации является предотвращение возможности нанесения ущерба
национальным интересам России в военной, экономической, научно-технической
и других областях.
Работы по защите информации для обеспечения безопасности государства в
информационной сфере в органах государственной власти и в организациях
проводятся с целью противодействия техническим разведкам, предотвращение
утечки защищаемой информации по техническим каналам и за счет
несанкционированного доступа, а также предупреждению преднамеренных
воздействий на нее.
Противодействие иностранным техническим разведкам (ПД ИТР)—
деятельность, направленная на исключение или затруднение получения
иностранными техническими разведкам разведывательной информации.
Техническая защита информации (ТЗИ)—
деятельность, направленная на ограничение или исключение возможностей по
получению, уничтожению или блокированию защищаемой информации с применением
технических средств и осуществляемая организационными, программными и
техническими (некриптографическими) мерами защиты информации от ее утечки
по техническим каналам, несанкционированного доступа к ней и специальных
воздействий на нее.
Согласно статье 4
Положения о ГСЗИ защита информации осуществляется
путем выполнения комплекса мероприятий по:
- Предотвращения утечки защищаемой информации от утечки по техническим каналам;
- Предотвращение несанкционированного доступа к защищаемой информации;
- Предупреждение преднамеренных программно-технических воздействий на защищаемую информацию.
Разработка системы защиты информации в организации происходит в несколько
этапов:
I этап — Анализ и определение защищаемой информации;
II этап — Выявлению угроз безопасности информации и определению вероятных
технических каналов утечки информации, оценке возможностей технических
разведок;
III этап — Разработка организационно-технических мероприятий по защите
информации;
IV этап — Реализацией организационно-технических мероприятий по защите
информации и осуществлением контроля.
Направления работ по защиты информации определяет статья 6 положения.
- Определение сведений, охраняемых от технических средств разведки —
-
Разработка организационно-технических мероприятий по защите информации и
их реализация - Контроль состояния защиты информации
анализ и оценка реальной опасности перехвата информации техническими
средствами разведки, несанкционированного доступа, разрушения (уничтожения)
или искажения информация путем преднамеренных программно-технических
воздействий в процессе ее обработки, передачи и хранения в технических
средствах, выявление возможных технических каналов утечки сведений,
подлежащих защите.
Основные организационно-технические мероприятия по защите информации
(Статья 7. Положения о ГСЗИ)
- Лицензирование деятельности предприятий в области защиты информации.
-
Аттестование объектов по выполнению требований обеспечения защиты
информации при проведении работ со сведениями соответствующей степени
секретности. -
Сертификация средств защиты информации и контроля за ее эффективностью,
систем и средств информатизации и связи в части защищенности информации от
утечки по техническим каналам. -
Обеспечение условий защиты информации при подготовке и реализации
международных договоров и соглашений. -
Оповещение о пролетах космических и воздушных летательных аппаратов,
кораблях и судах, ведущих разведку объектов (перехват информации,
подлежащей защите), расположенных на территории Российской Федерации. -
Введение территориальных, частотных, энергетических, пространственных
и временных ограничений в режимах использования технических средств,
подлежащих защите. -
Создание и применение информационных и автоматизированных систем
управления в защищенном исполнении. -
Разработка и внедрение технических решений и элементов защиты информации
при проектировании, строительстве (реконструкции) и эксплуатации объектов,
систем и средств информатизации и связи. -
Применение специальных методов, технических мер и средств защиты,
исключающих перехват информации, передающейся по каналам связи.
Проведение любых мероприятий и работ с использованием сведений, отнесенных
к государственной или служебной тайне
без принятия необходимых мер по защите информации не допускается.
Объектовая система защиты информации
Объект защиты — материальный объект, являющийся носителем сведений,
составляющих государственную и служебную тайну, и (или) объект, на котором
циркулирует или обрабатывается техническими средствами и (или)
произносится, воспроизводится речевая информация, содержащая сведения,
составляющие государственную и служебную тайну, в интересах защиты которого
осуществляется ПД ИТР и ТЗИ.
К объектовому уровню относятся предприятия (организации, учреждения)
независимо от форм собственности и ведомственной принадлежности, проводящие
работы по оборонной тематике или другие работы с использованием сведений,
отнесенных к государственной или служебной тайне, их подразделения
(специалисты) по защите информации.
Категорирование объектов, согласно пункту
41 Положения о ГСЗИ по требованиям обеспечения защиты информации осуществляется на
3 категории: первая, вторая и третья.
Так, объектом 3
категории является объекты, на которых необходимо
обеспечить защиту информации, циркулирующей в технических средствах. На
объектах третьей категории выполняется комплекс основных организационных и
технических мероприятий по защите информации в системах и средствах
информатизации и связи.
Согласно ГОСТ Р 50922-96
«Защита информации. Основные термины и определения»:
Система защиты информации
— совокупность органов и/или исполнителей, используемая ими техника защиты
информации, а также объекты защиты, организованные и функционирующие по
правилам, установленным соответствующими правовыми, организационно –
распорядительными и нормативными документами по защите информации.
Система защиты информации включает в себя:
- органы и исполнители;
- техника защиты информации;
- объекты защиты;
- документы по защите информации.
Органы и исполнители включают в себя:
- руководитель организации;
- заместитель руководителя;
- постоянно действующая техническая комиссия (ПДТК);
- экспертная комиссия;
- подразделения по защите гостайны;
- подразделение (специалист) по защите информации;
- исполнители структурных подразделений.
Техника защиты информации
– средства защиты информации, средства контроля эффективности защиты
информации, средства и системы управления, предназначенные для обеспечения
защиты информации.
Средства защиты информации:
- Технические средства защиты информации.
- Технические средства контроля эффективности защиты информации.
- Средства и системы, в которых они реализованы.
Объект информатизации – совокупность информационных ресурсов, средств и
систем обработки информации, используемых в соответствии с заданной
информационной технологией, а также средств их обеспечения, помещений или
объектов (зданий, сооружений, технических средств), в которых эти средства
и системы установлены, или помещений и объектов, предназначенных для
ведения конфиденциальных переговоров.
Объектами защиты
являются:
- Автоматизированные (информационные) системы.
- Выделенные (защищаемые) помещения.
- Средства изготовления и размножения документов.
Базовый состав документов по защите информации в организации
К основному перечню документов по защите информации в организации
относятся:
- Руководство по защите информации.
-
Положение о порядке организации и проведении работ по защите
конфиденциальной информации. -
Документы, регламентирующие деятельность ПДТК (ЭК) (положение, планы,
решения, отчеты. - Эксплуатационная документация на объекты информатизации.
- Положение о подразделении по защите информации.
- Документы, регламентирующие деятельность подразделений (специалистов) по защите информации (приказы, планы, отчёты.
- Документы, регламентирующие порядок организации работ по приему иностранных граждан.
Согласно Положения о ГСЗИ, непосредственное руководство работами по защите
информации осуществляют руководители органов
государственной власти или их заместители.
Государственную аттестацию руководителей предприятий, учреждений и
организаций, ответственных за защиту сведений, составляющих государственную
тайну осуществляет вышестоящая структура управления, как правило, при
назначении на должность.
При этом руководствуются:
-
Решением Межведомственной комиссии по защите государственной тайны от 13
марта 1996 г. №
3 «Методические рекомендации по организации и проведению
государственной аттестации руководителей предприятий, учреждений
и организаций, ответственных за защиту сведений, составляющих
государственную тайну». -
Решением МВК от 28 апреля 2015 г. №
305 «О перечне организаций,
осуществляющих образовательную деятельность, по окончании которых выдается
документ образовании и (или) о квалификации, дающий право руководителям
организаций, ответственных за защиту сведений, оставляющих государственную
тайну, считаться прошедшими государственную аттестацию». -
Постановлением Правительства Российской Федерации от 15 апреля 1995 г. №
333
«Положение о лицензировании деятельности предприятий, учреждений
и организаций по проведению работ, связанных с использованием сведений,
составляющих государственную тайну, созданием средств защиты информации, а
также с осуществлением мероприятий и (или) оказанием услуг по защите
государственной тайны».
Обязанности руководителя в области защиты информации должны быть отражены в
уставе или положение об организации, в руководстве по защите информации
(положении о защите конфиденциальной информации).
Руководитель организации определяет необходимые силы и средства для
организации защиты информации в организации, назначает одного из своих
заместителей, осуществляющего непосредственное руководство работами по
защите информации (при наличии).
Руководитель организации организует деятельность объектовой системы защиты
информации, осуществляет общее руководство деятельностью объектовой системы
защиты информации, контроль над эффективностью принимаемых мер защиты
информации.
Обязанности в области защиты информации заместителя руководителя
организации, зафиксированные в руководстве по защите информации (Положении
о защите конфиденциальной информации) и должностной инструкции
(регламенте):
- постоянно изучать все стороны и направления деятельности организации для принятия своевременных мер по защите информации;
- обеспечивать организационное и научно-техническое руководство деятельностью ПДТК и экспертной комиссии;
- осуществлять организационное руководство мероприятиями по лицензированию организации;
-
участвовать в изучении и анализе производственно-технической
деятельностью предприятия с целью выявления и закрытия возможных каналов
утечки секретной информации; - руководить работой подразделения по защите информации;
- выполнять другие функции по организации защиты информации в ходе проведения предприятием всех видов работ.
Постоянно действующая техническая комиссия по защите государственной тайны
ПДТК образована Распоряжением Правительства Российской Федерации
от 28 июня 2001 г. N 852-р
«Об образовании постоянно действующих
технических комиссий по защите государственной тайны». Деятельность
технических комиссий регулируется Положением о постоянно действующих
технических комиссиях по защите государственной тайны, утвержденом
совместным приказом Гостехкомиссии России и ФСБ России от 28 июля 2001 г. №
309/405дсп.
ПДТК назначается приказом руководителя организации, председателем ПДТК
является заместитель руководителя организации, секретарем ПДТК – сотрудник
РСО или подразделения по ЗИ. Персональный состав ПДТК — заместители
руководителя, руководители основных структурных подразделений, режимно-секретного
подразделения и подразделения (специалиста) по защите информации.
ПДТК осуществляет свою деятельность на основании положения о постоянно
действующей технической комиссии по защите государственной тайны
организации. Разрабатывается Положения о ПДТК в соответствии с совместным
приказом Гостехкомиссии России и ФСБ России от 28 июля 2001 г. №
309/405дсп
или приказе о назначении ПДТК определяется, что в своей деятельности ПДТК
организации руководствуется Положением о ПДТК , утвержденным совместным
приказом Гостехкомиссии России и ФСБ России от 28 июля 2001 г. №
309/405дсп.
План работы ПДТК по защите государственной тайны составляется на
календарный год.
Основные функции ПДТК:
- Выработка рекомендаций, направленных на обеспечение установленного режима секретности.
- Своевременное выявление и закрытие возможных каналов неправомерного распространения сведений, составляющих государственную тайну.
- Организация и координация работ по ПД ИТР и ТЗИ.
- Совершенствование системы физической защиты объектов.
- Проведение экспертизы материалов, предназначенных для открытого опубликования.
Экспертная комиссия (ЭК)
назначается приказом руководителя организации. Функции экспертной комиссии
могут возлагаться на ПДТК организации на основании приказа и Положения о
ПДТК. Персональный состав ЭК — заместители руководителя, руководители
основных структурных подразделений, компетентные в соответствующей области
специалисты организации, эксперты, работники режимно-секретного
подразделения и подразделения (специалиста) по защите информации.
ЭК осуществляет свою деятельность на основании положения об экспертной
комиссии организации либо функции ЭК включаются в Положение о ПДТК
организации. Экспертная комиссия проводит работу по мере необходимости.
Экспертная комиссия при экспертизе материалов, предназначенных для
открытого опубликования, руководствуется Рекомендациями по проведению
экспертизы материалов, предназначенных к открытому опубликованию,
установленными Решением Межведомственной комиссии по защите государственной тайны от 30
октября 2014 г. № 293.
По результатам работы экспертной комиссии оформляются :
- Протоколы;
- Экспертные заключения;
- Приказы;
- Другие распорядительные документы.
Возложение одновременно функций по проведению экспертизе материалов,
предназначенных для открытого опубликования на ПДТК и ЭК
не рекомендуется.
Функции по защите информации в органах государственной власти осуществляются
подразделениями (штатными специалистами) по защите информации.
Назначение на должности и освобождение от должности руководителей этих
подразделений производятся
по согласованию с ФСТЭК России
Согласно статьи
18 Положения о ГСЗИ в зависимости от объема работ по защите
информации руководителем предприятия создается структурное подразделение по
защите информации либо назначаются штатные специалисты по этим вопросам.
Указанные подразделения (штатные специалисты) подчиняются непосредственно
руководителю предприятия или его заместителю. Работники этих подразделений
(штатные специалисты) приравниваются по оплате труда к соответствующим
категориям работников основных структурных подразделений.
Статьей
10 Инструкции по обеспечению режима секретности в Российской
Федерации, утвержденной Постановлением Правительства Российской Федерации
от 4 января 2004 г. №
3-1 установлено, что подразделения по технической
защите информации относятся к подразделениям по защите государственной
тайны.
Согласно пункту
9 Приказа ФСТЭК России от 11 февраля 2013 г. №
17 «Об утверждении Требований о защите информации, не составляющей государственную
тайну, содержащейся в государственных информационных системах», для
обеспечения защиты информации, содержащейся в информационной системе,
оператором назначается структурное подразделение или должностное лицо
(работник), ответственные за защиту информации.
Пункт 10 Приказа от 14
марта 2014 г. № 31 «Об утверждении Требований к
обеспечению защиты информации в автоматизированных системах управления
производственными и технологическими процессами на критически важных
объектах, потенциально опасных объектах, а также объектах, представляющих
повышенную опасность для жизни и здоровья людей и для окружающей природной
среды» также говорит о необходимости назначения структурного подразделения
или должностного лица (работника), ответственного за защиту информации.
Согласно Постановлению Правительства РФ от 1 ноября 2012 №
1119 «Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных» для обеспечения 2 и 3-го
уровня защищенности персональных данных при их обработке в информационных
системах, необходимо, чтобы было назначено должностное
лицо (работник), ответственный за обеспечение безопасности персональных
данных в информационной системе.
Согласно этого же Постановления, для обеспечения 1-го уровня защищенности
персональных данных при их обработке в информационных системах необходимо,
создание структурного подразделения,
ответственного за обеспечение безопасности персональных данных в информационной системе, либо
возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Руководители в зависимости от объема работ принимают решение о создании
подразделения (введении должностей(и) специалистов(а)) по технической
защите информации и наделении их необходимыми полномочиями, в том числе
полномочиями по координации и оказанию необходимой методической помощи, а
также контролю за организацией работ и выполнением мероприятий по ТЗИ в
отношении подведомственных организаций.
В штатном расписании аппаратов органов государственной власти субъектов
Российской Федерации, органов исполнительной власти субъекта Российской
Федерации и органов местного самоуправления должны быть определены
подразделение по технической защите информации или специалист по
технической защите информации или специалисты, на которых обязанности по
технической защите информации возложены в дополнение к основным задачам,
предусмотренным должностным регламентом или предприятие, на которое
возлагаются функции структурного подразделения по технической защите
информации.
В должностные регламенты специалиста по технической защите информации
включены:
-
квалификационные требования к профессиональным знаниям и навыкам,
необходимым для исполнения должностных обязанностей по технической защите
информации; -
должностные обязанности, права и ответственность гражданского служащего
за неисполнение (ненадлежащее исполнение) должностных обязанностей в
области информационной безопасности.
Специалисты по ТЗИ подчиняются непосредственно руководителю аппарата органа
государственной власти субъекта Российской Федерации, органа исполнительной
власти субъекта Российской Федерации ….. (заместителю руководителя органа
власти и управления, отвечающему за вопросы защиты информации) или входят в
состав одного из технических, научно-технических или специальных
подразделений органа государственной власти региона (органа местного
самоуправления). При этом в положение об указанных подразделениях
должны быть включены вопросы технической защиты информации.
Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной
гражданской службе Российской Федерации» определены квалификационные
требования к должностям гражданской службы:
- к уровню профессионального образования;
- к стажу (опыту) работы по специальности;
- к профессиональным знаниям и навыкам, необходимым для исполнения должностных обязанностей.
В должностных регламентах
государственных и муниципальных служащих, замещающих должности специалистов
по технической защите информации, должны быть включены
квалификационные требования к профессиональным знаниям и
навыкам, необходимым для исполнения должностных обязанностей.
Эти квалификационные требования установлены Приказом Минздравсоцразвития
России от 22 апреля 2009 г. №
205 «Единый квалификационный справочник должностей руководителей, специалистов и служащих», раздел
«Квалификационные характеристики должностей руководителей и специалистов по
обеспечению безопасности информации в ключевых системах информационной
инфраструктуры, противодействию техническим разведкам и технической защите
информации» и Приказом Министерства труда и социальной защиты Российской
Федерации от 3 апреля 2013 г. №
135н «Типовые межотраслевые нормы труда (нормы времени) на работы
по обеспечению защиты государственной тайны в подразделениях
по противодействию иностранным техническим разведкам и технической защите
информации».
Профессиональные стандарты:
-
Профессиональный стандарт «Специалист по технической защите информации»
Приказ Министерства труда и социальной защиты
Российской Федерации от 1 ноября 2016 г. № 599н. -
Профессиональный стандарт «Специалист по безопасности компьютерных
систем и сетей» Приказ Министерства труда и социальной защиты
Российской Федерации от 1 ноября 2016 г. № 599н. -
Профессиональный стандарт «Специалист по защите информации в
телекоммуникационных системах и сетях» Приказ Министерства труда и
социальной защиты Российской Федерации от 3 ноября 2016 г. № 608н.
Постановлением Правительства Российской Федерации от 27 июня 2016 г. №
584
установлены особенности применения профессиональных стандартов в
организациях.
В соответствии с нормативным правовым актом организации с учетом мнения
представительного органа работников утверждают:
- планы по организации применения профессиональных стандартов;
- список профессиональных стандартов, подлежащих применению.
Организация определяет потребность в профессиональном образовании
(обучении) и (или) дополнительном профессиональном образовании работников
на основе анализа квалификационных требований, содержащихся в
профессиональных стандартах.
В плане приводится перечень локальных нормативных актов и других документов
организации, в том числе по вопросам аттестации, сертификации и других форм
оценки квалификации работников, подлежащих изменению с учетом требований
профессиональных стандартов. Реализацию плановых мероприятий необходимо
завершить до 1 января 2020 г.
Профессиональные стандарты устанавливают требования к профессиональным
знаниям и навыкам специалистов по защите информации.
В статье
195.3 «Порядок применения профессиональных стандартов» Трудового
кодекса Российской Федерации определено, что, если настоящим Трудовым
кодексом, другими федеральными законами, иными нормативными правовыми
актами Российской Федерации установлены требования к квалификации,
необходимой работнику для выполнения определенной трудовой функции,
профессиональные стандарты в части указанных требований обязательны для
применения работодателями.
В статье 196
«Права и обязанности работодателя по подготовке и
дополнительному профессиональному образованию работников» Трудового кодекса
установлено, что для собственных нужд
работодатель определяет необходимость подготовки
работников (профессиональное образование и профессиональное обучение) и
дополнительного профессионального образования.
Задачи в области обеспечения безопасности информации в органах
государственной власти субъектов Российской Федерации и органах местного
самоуправления должны решать государственные и муниципальные служащие,
имеющие высшее профессиональное образование по направлению
Информационная безопасность».
Указанные специалисты должны с периодичностью не реже
1 раза в 3 года
проходить обучение по дополнительным профессиональным программам
в области информационной безопасности продолжительностью не менее
40 часов.
Или имеют высшее техническое образование по направлениям подготовки
(специальностям), смежным с направлением подготовки «Информационная
безопасность», и прохождение обучения по дополнительным профессиональным
программам в области информационной безопасности профессиональной
переподготовки продолжительностью — не менее
360 часов.
К смежным с направлением подготовки «Информационная безопасность»,
относятся направления подготовки (специальности) в государственных
образовательным стандартах которых предусмотрен курс по информационной
безопасности.
Постановление Правительства Российской Федерации от 6 мая 2016 г. №
399
определяет правила организации повышения квалификации специалистов по
защите информации и должностных лиц, ответственных за организацию защиты
информации в органах государственной власти, органах местного
самоуправления, организациях с государственным участием и организациях
оборонно-промышленного комплекса.
Наличие в структуре подразделений (количество специалистов) по ТЗИ
определяется в зависимости от объема работ в данном направлении.
Необходимо учесть следующие факторы:
-
количество объектов информатизации (выделенные помещения,
автоматизированные системы, средства изготовления и размножения
документов), обрабатывающих информацию, содержащую сведения, составляющие
государственную тайну; -
количество объектов информатизации (защищаемые помещения,
автоматизированные системы, средства изготовления и размножения
документов), обрабатывающих информацию ограниченного доступа, не содержащую
сведений, составляющих государственную тайну; -
количество государственных (муниципальных) информационных систем, в том
числе региональных сегментов федеральных государственных информационных
систем, иных информационных систем их масштаб и количество пользователей; -
наличие собственного сайта органа государственной власти субъекта
Российской Федерации (органа местного самоуправления); -
количество городских и сельских поселений, находящихся в пределах
территории муниципального района, в отношении которых необходимо проводить
мероприятия по координации и оказанию методической помощи по вопросам
технической защиты информации (для органов местного самоуправления уровня
муниципальный район); -
количество организаций, подведомственных органу государственной власти
субъекта Российской Федерации (органу местного самоуправления); -
количество организаций, контрольный пакет акций которых принадлежит
субъекту Российской Федерации (органу местного самоуправления).
При наличии объектов информатизации, на которых обрабатывается (должна
обрабатываться) информация, содержащая сведения, составляющие
государственную тайну
, подразделения (специалисты) по технической защите информации
должны решать задачи обеспечения безопасности информации в полном объеме,
в том числе на указанных объектах информатизации.
С учетом этого подразделения (специалисты) по технической защите информации
должны быть отнесены к подразделениям (специалистам) по защите
государственной тайны с
обязательным оформлением (переоформлением) допуска к государственной
тайне с проведением органами безопасности проверочных мероприятий.
Статья 14 Положения
о ГСЗИ говорит о том, что назначение на должности и
освобождение от должности руководителей этих подразделений производятся по
согласованию с ФСТЭК России (его территориальным управлением).
Для согласования назначения на должность руководителей подразделений
(специалистов) по технической защите информации готовятся следующие
документы:
- Справка по кандидату к назначению на должность.
-
Копии документов о переподготовке и (или) повышении квалификации по
вопросам ТЗИ за последние три года. -
Копия должностного регламента руководителя подразделения (специалиста)
по технической защите информации. -
Копия положения о подразделении по ТЗИ (подразделения, в состав которого
входят специалисты по ТЗИ или устава предприятия, на которое возлагаются
функции структурного подразделения по ТЗИ, и положения о подразделении по
ТЗИ в его составе.
Документы, указанные выше, до назначения на должность направляются в
головное подразделение по ТЗИ региона, где:
- Рассматриваются представленные документы.
- Проводится анализ достаточности специалистов по ТЗИ.
- Принимается решение о возможности согласования назначения на должность.
Документы по согласованию назначения на должность, направляются в
территориальное Управление ФСТЭК России.
Управление ФСТЭК России по федеральному округу рассматривает полученные
материалы и при положительном решении направляет через головное
подразделение по ТЗИ региона свидетельство о согласовании назначения на
должность руководителя подразделения (специалиста) по технической защите
информации.
Подлежат согласованию руководитель подразделения по технической защите
информации и специалисты по ТЗИ (специалисты, в должностные регламенты
которых включены квалификационные требования к профессиональным знаниям и
навыкам, необходимым для исполнения должностных обязанностей по технической
защите информации, а также должностные обязанности, права и ответственность
гражданского служащего за неисполнение (ненадлежащее исполнение)
должностных обязанностей в области информационной безопасности).
Согласование возложения обязанностей по технической защите информации на
специалистов, для которых данные обязанности являются дополнительными к
основным задачам, предусмотренным должностным регламентом, осуществляется
головными подразделениями по технической защите информации.
При этом в Управление ФСТЭК России по федеральному округу направляется
заключение о достаточности такого специалиста для решения задач по
технической защите информации в аппарате органа государственной власти
субъекта Российской Федерации, органе исполнительной власти субъекта
Российской Федерации.
Согласование руководителей подразделений по защите информации на
предприятиях производится на основании Приказа Гостехкомиссии России от 7
сентября 2001 г. №
364 «О согласовании назначения на должность и
освобождения от должности руководителей подразделений по ПД ИТР и ТЗИ».
Форма представляемых документов для согласования в территориальный орган
ФСТЭК России определена Приказом ФСТЭК России от 14 декабря 2010 г. №
687.
Задачи, функции и права подразделения (специалиста) по защите информации
определяются положением о подразделении по защите информации и должностной
инструкцией (регламентом) специалиста по ТЗИ.
Подразделение (специалист) осуществляет свою деятельность на основании
плана работы подразделения по ЗИ на календарный год (полугодие, квартал) и
ежемесячного (ежеквартального) плана работы подразделения по ЗИ, которые
формируются на основании руководства по защите информации в организации и
положения о защите конфиденциальной информации в организации.
Руководитель структурного подразделения организации
Пункт 23
Положения о ГСЗИ говорит о том, что организация защиты информации
в системах и средствах информатизации и связи возлагается на
руководителей подразделений,
эксплуатирующих эти системы и средства.
Они осуществляют свою деятельность на основании положения о структурном
подразделении организации и должностной инструкции (регламента)
руководителя подразделения. Этими документами определяются общие
обязанности по защите информации, конкретизируются же эти обязанности
руководством по защите информации в организации, положением о защите
конфиденциальной информации в организации и инструкцией по защите
информации при обработке на СВТ и т.п.
Руководитель подразделения обязан:
-
Обеспечивать принятие предусмотренных мер защиты информации в процессе
работы подчиненного подразделения. -
Контролировать выполнение мероприятий по защите информации и
эксплуатацию средств защиты в соответствии с требованиями изложенными в
инструкциях по защите информации на объектах информатизации. -
Проводить не реже двух раз в год под роспись инструктаж подчиненных по
выполнению требований инструкций по защите информации (при изменении
требований по защите информации – немедленно).
Исполнитель
Согласно пункту 23
Положения о ГСЗИ ответственность за обеспечение защиты
информации – возлагается непосредственно на пользователя (потребителя)
информации.
Исполнитель осуществляет свою деятельность на основании должностной
инструкция (регламента) работника, в которой определяются общие обязанности
по защите информации. Конкретизируются эти обязанности также руководством
по защите информации в организации, положением о защите конфиденциальной
информации в организации и инструкцией по защите информации при обработке
на СВТ и т.п.
2. Организационно-распорядительные документы по защите информации в организации
Примерный состав документов по защите информации
1. Нормативные документы
- Руководство по защите информации от технических разведок и от ее утечки по техническим каналам.
- Положение о порядке организации и проведении работ по защите конфиденциальной информации.
- Положение о подразделении (специалисте) по защите информации.
-
План мероприятий по обеспечению защиты государственной тайны и
технической защиты информации (отдельный раздел годового плана основной
деятельности). -
Инструкция по обеспечению режима секретности при обработке секретной
информации (по обеспечению безопасности информации) с использованием
средств вычислительной техники. - Инструкция о порядке приема иностранных граждан и защите информации при работе с иностранными гражданами.
2. Приказы руководителя:
- о создании постоянно действующей технической комиссии по защите государственной тайны;
- о создании экспертной комиссии по проведению экспертизы материалов, предназначенных к открытому опубликованию;
- о назначении должностных лиц, ответственных за техническую защиту информации;
- о проведении аттестационных испытаний объекта информатизации;
- о проведении периодического контроля эффективности принимаемых мер и средств защиты информации на объектах информатизации;
- о вводе в эксплуатацию объекта информатизации;
- о выводе из эксплуатации объекта информатизации.
3. Документы заявителя для проведения аттестационных испытаний
Рассмотрим более подробно содержание некоторых должностных документов.
Согласно пункту 45
Положения о ГСЗИ содержание и порядок осуществления
мероприятий по защите информации определяются в Руководстве по защите
информации, разрабатываемом на каждом объекте.
Руководство по защите информации от технических разведок и от её утечки по
техническим каналам, является
основным локальным руководящим документом,
определяющим порядок и содержание работ по технической защите информации на
объекте. Разработку документа организует руководитель организации силами
специалистов по защите информации и основных структурных подразделений.
Типовые требования к содержанию и порядку разработки руководства по защите
информации от иностранных технических разведок и от ее утечки по
техническим каналам на объекте одобрены решением Гостехкомиссии России от 3
октября 1995 г. №42.
Организация работ по созданию и эксплуатации объектов информатизации и их
средств защиты информации определяется в разрабатываемом «Положении о
порядке организации и проведения работ по защите конфиденциальной
информации» или в приложении к «Руководству по защите информации от утечки
по техническим каналам на объекте».
Положение разрабатывается подразделением по защите информации и
утверждается руководителем организации.
В документе должны быть отражены следующие вопросы:
- Порядок определения защищаемой информации;
- Порядок привлечения подразделений и организаций к разработки и эксплуатации объектов информатизации;
- Порядок взаимодействия занятых в этой работе специалистов;
- Порядок разработки, ввода в эксплуатацию объектов информатизации;
- Ответственность должностных лиц за своевременность и качество выполнения требований по защите информации.
Положении о порядке организации и проведения работ по защите
конфиденциальной информации рекомендуется разрабатывать по форме и
содержанию руководства по защите информации от технических разведок и от ее
утечки по техническим каналам на объекте, утвержденному решением
Гостехкомиссии России от 3 октября 1995 г. №
42.
Основные функции, права и порядок финансирования подразделения
(специалиста) по защите информации определяет типовое положение о подразделении по защите
информации от иностранных технических разведок и от ее утечки по
техническим каналам в министерствах и ведомствах, в органах государственной
власти субъектов Российской Федерации или типовым положением о подразделении по защите
информации от иностранных технических разведок и от ее утечки по
техническим каналам на предприятии (в учреждении, организации) одобренных
решением Гостехкомиссии России от 14 марта 1995 г. №32.
Если существуют подведомственные (подчиненные) организации, в отношении
которых проводится координация и методическое руководство по вопросам
защиты информации, то следует руководствоваться типовым положением о
подразделении по защите информации от иностранных технических разведок и от
ее утечки по техническим каналам в министерствах и ведомствах, в органах
государственной власти субъектов Российской Федерации. В противном случае
следует руководствоваться типовым положением о подразделении по защите
информации от иностранных технических разведок и от ее утечки по
техническим каналам на предприятии (в учреждении, организации).
Основные функции подразделения (специалиста по защите информации)
-
Планирование работ по защите информации в организации, предусматривающее
задачи подразделениям по решению конкретных вопросов по защите информации,
организацию их выполнения, а также контроль за их эффективностью. -
Участие в подготовке организации к аттестованию на право проведения
работ с использованием сведений, отнесенных к государственной тайне. - Организация разработки нормативно-методических документов по защите информации в организации.
- Определение:
- Разработка проектов распорядительных документов по вопросам организации защиты информации.
- Разработка предложений по совершенствованию системы защиты;
-
Разработка совместно с другими основными подразделениями Руководства
по защите информации в организации; -
Разработка комплекса мероприятий по защите государственной тайны
при установлении и осуществлении связей с зарубежными фирмами, а также
при посещении организации иностранными представителями; -
Проведение периодического контроля эффективности мер защиты информации
в организации. Учет и анализ результатов контроля; -
Участие в расследовании нарушений в области защиты информации и
разработка предложений по устранению и предупреждению подобного рода
нарушений; - Подготовка отчетов о состоянии работ по защите информации;
- Организация проведения занятий с руководящим составом и специалистами организации по вопросам защиты информации.
•
демаскирующих признаков организации и выпускаемой продукции;
•
видов и средств иностранной технической разведки, которые позволяют
получить сведения о деятельности организации;
•
технических каналов утечки информации;
•
возможности несанкционированного доступа к информации, ее разрушения
(уничтожения) или искажения и разработка соответствующих мер по защите
информации.
Подразделение (специалист) по защите информации имеет право:
-
допуска к работам и документам основных структурных подразделений
организации, необходимым для оценки принимаемых мер по защите информации и
подготовки предложений по их дальнейшему совершенствованию; -
готовить предложения о привлечении к проведению работ по защите
информации на договорной основе организации, имеющего лицензию на
соответствующий вид деятельности; - контролировать деятельность любого структурного подразделения по выполнению требований по защите информации;
- участвовать в работе коллегиальных органов организации при рассмотрении вопросов защиты информации;
-
вносить предложения руководителю организации о приостановке работ в
случае обнаружения утечки (или предпосылки к утечке) информации, содержащей
сведения, отнесенные к государственной или служебной тайне.
Инструкция по обеспечению режима секретности при обработке секретной
информации с использованием средств вычислительной техники
Порядок обработки секретной информации на объектах вычислительной техники
должен быть изложен в
единой для организации инструкции, которая
разрабатывается на основании Типовой инструкции по обеспечению режима
секретности при обработке секретной информации (по обеспечению безопасности
информации) с использованием средств вычислительной техники, одобренной
решением Межведомственной комиссии по защите государственной тайны от 9
октября 2009 г. № 172.
Разделы разрабатываемой инструкции должны соответствовать Типовой инструкции.
Порядок приема иностранных граждан (делегаций)
В порядке должны быть отражены:
- Положение о приеме иностранных граждан.
- Программа приема иностранных граждан (делегаций).
-
План мероприятий по обеспечению режима секретности на период пребывания
иностранных граждан (делегаций).
При этом следует учитывать, что нормативными правовыми актами должна быть предусмотрена
возможность ведения иностранными гражданами разведки непосредственно
с территории предприятия.
В ходе посещения сокращаются границы контролируемой зоны для объектов
информатизации, задействованных в обработке защищаемой информации,
относительно маршрутов передвижения иностранных делегаций (граждан).
Требования к содержанию всех названных документов отражены в РД
50-34.698-90
«Методические указания. Информационная технология. Комплекс стандартов и
руководящих документов на автоматизированные системы. Автоматизированные
системы. Требования к содержанию документов»
Документы по защите информации на объекте
Определяется следующий перечень документов:
- Журнал администратора безопасности.
- Журнал учета работы автоматизированной системы.
- Журнал учета печати документов.
- Инструкция администратора безопасности.
- Инструкция пользователя.
- Инструкция по антивирусной защите.