ОСОБЕННОСТИ ЗАКОНОДАТЕЛЬСТВА ПО ЗАЩИТЕ ИНФОРМАЦИИ В ОРГАНАХ ГОСУДАРСТВЕННОЙ ВЛАСТИ


1. Государственная система защиты информации

2. Порядок обеспечения документами по ТЗИ


1. Государственная система защиты информации


Государственная система защиты информации (ГСЗИ) – совокупность органов государственной власти, органов местного самоуправления и организаций, участвующих в организации, обеспечении или осуществлении противодействия иностранным техническим разведкам и технической защиты информации, а также используемых ими методов, способов и средств.

Основные направления ГСЗИ - противодействие иностранным техническим разведкам и техническая защита информации.

Противодействие иностранным техническим разведкам (ПД ИТР) – деятельность, направленная на исключение или затруднение получения иностранными техническими разведкам разведывательной информации.

Техническая защита информации (ТЗИ) – деятельность, направленная на ограничение или исключение возможностей по получению, уничтожению или блокированию защищаемой информации с применением технических средств и осуществляемая организационными, программными и техническими (некриптографическими) мерами защиты информации от ее утечки по техническим каналам, несанкционированного доступа к ней и специальных воздействий на нее.

Федеральные нормативные документы


1. Конституция Российской Федерации

2. Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности» - ст. 8 «Президент Российской Федерации: … 2) утверждает стратегию национальной безопасности Российской Федерации, иные концептуальные и доктринальные документы в области обеспечения безопасности;»

3. Доктрина информационной безопасности РФ, утвержденная Указом Президента Российской Федерации от 5 декабря 2016 г. N 646, которая определяет основы государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры РФ.

4. Стратегия развития информационного общества в Российской Федерации на 2017- 2030 годы, утвержденная, Указом Президента Российской Федерации от 9 мая 2017 г. N 203, которая устанавливает основные направления государственной политики в области международной информационной безопасности на период до 2020 года.

Информационная безопасность – это составная часть национальной безопасности РФ наряду с политической, военной, экономической, социальной и экологической безопасностью.

Государственная система защиты информации является
составной частью системы обеспечения национальной безопасности Российской Федерации и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере.

Организацию деятельности государственной системы защиты информации, а также руководство указанной системой осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России).

Деятельность государственной системы защиты информации осуществляется на основе:

- законности;

- подконтрольности Президенту Российской Федерации;

- разграничении полномочий федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, интегрированных структур оборонно-промышленного комплекса и организаций по защите информации, а также отдельными должностными лицами.

Уровни функционирования ГСЗИ


Наименование
уровня

Область распространения деятельности

Состав участвующих элементов государственной системы

Координирующий (организующий) элемент

Федеральный

Территория Российской Федерации

Государственные органы федерального уровня

Центральный аппарат
ФСТЭК России

Межрегиональный

Территория федерального округа

Территориальные органы ФОИВ, совещательный орган при полномочном представителе Президента

Территориальный орган ФСТЭК России

Региональный

Территория субъекта Российской Федерации

Территориальные органы ФОИВ, органы государственной власти и совещательные органы субъекта Российской Федерации, органы местного самоуправления

Территориальный орган ФСТЭК России

Отраслевой

Отдельная отрасль экономики

ФОИВ, территориальные органы ФОИВ, организации отрасли

Корпоративные структуры, организации отрасли

ФОИВ (головная организация отрасли, головная организация корпорации)

(при координирующей роли цент-рального аппарата и территориаль-ных органов ФСТЭК России)

Объектовый

Организация или иной стационарный объект защиты от ИТР

Организация
(стационарный объект)

Структурное подразделение (штатные специалисты)
по ПД ИТР и ТЗИ

(при координирующей роли цент-рального аппарата и территориаль-ных органов ФСТЭК России)


Структурные уровни государственной системы защиты информации


1. Федеральный уровень:

- Президент Российской Федерации;

- Военное–промышленная комиссия при Президенте;

- Правительство Российской Федерации - межведомственная комиссия по защите государственной тайны;

- Совет Безопасности Российской Федерации - межведомственная комиссия
по информационной безопасности;

- Государственная дума Российской Федерации - подкомитет
по информационной безопасности;

- ФСТЭК России;

- ФСБ России;

- ФСО России;

- Служба внешней разведки России;

- МВД России.

2. Межрегиональный уровень (федеральный округ):

- Полномочный представитель Президента Российской Федерации в федеральном округе;

- Управление ФСТЭК России в федеральном округе;

- Управление ССИ ФСО России в федеральном округе;

- Территориальные органы федеральных органов исполнительной власти
в федеральных округах Российской Федерации;

- Координационный орган в сфере образовательной деятельности

по вопросам защите информации.

3. Региональный уровень (субъект Российской Федерации):

- Высшее должностное лицо субъекта Российской Федерации;

- Советы (Комиссии) по защите информации;

- Управления ФСБ России в субъектах Российской Федерации вместе с аттестационным центром ФСБ России;

- Центры ССИ ФСО России в субъектах Российской Федерации;

- Территориальные органы федеральных органов исполнительной власти
в субъектах Российской Федерации;

- Органы по аттестации объектов информатизации по требованиям безопасности информации - испытательные лаборатории, аттестационные центры ФСТЭК России;

- Образовательные организации, осуществляющие подготовку, профессиональную переподготовку и повышение квалификации кадров в области защиты информации.

4. Ведомственный (отраслевой) уровень:

- Федеральные органы исполнительной власти;

- Территориальные органы федеральных органов исполнительной власти;

- Подведомственные организации (учреждения, предприятия);

- Головные и ведущие научно-исследовательские, научно-технические,
проектные и конструкторские организации по защите информации
органов государственной власти.


Основные задачи региональных Советов (Комиссий)
по защите информации


1) Определение концептуальных подходов и приоритетных направлений по ЗИ в регионе

2) Анализ выполнения законов, решений Президента и Правительства Российской Федерации, приказов и указаний руководителей органов государственной власти

3) Анализ состояния ЗИ. Выполнение решений окружного Координационного Совета

4) Разработка предложений по организации и координации работ в области защиты информации

5) Анализ проектов региональных программ информатизации в части реализации требований по ЗИ

6) Разработка предложений по подготовке кадров для региональной системы ЗИ

7) Анализ вопросов обеспечения органов власти и подведомственных организаций субъекта РФ средствами ТЗИ и контроля

8) Создание (совершенствование) системы повышения квалификации специалистов по вопросам защиты информации

Координация работ по защите информации в органах исполнительной власти, органах местного самоуправления и подведомственных им организациях

Работа по защите информации осуществляется через gодразделение по технической защите информации и по защите государственной тайны администрации (аппарата) высшего должностного лица субъекта РФ (председателя Правительства субъекта РФ) и (или) один из органов исполнительной власти субъекта РФ, определяемого высшим должностным лицом субъекта РФ (председателем Правительства субъекта РФ).

Подразделения по технической защите информации и подразделения по защите государственной тайны в пределах своей компетенции наделяются полномочиями по координации деятельности региональных органов исполнительной власти и органов местного самоуправления, а также контролю выполнения мероприятий по защите информации в региональных органах исполнительной власти и подведомственных им организациях.

Указанные подразделения являются головными в субъекте РФ по направлениям своей деятельности.


Основные направления деятельности головных подразделений по ТЗИ


1) Техническая защита информации, составляющей государственную тайну.

2) Техническая защита информации ограниченного доступа, не отнесенной к государственной тайне.

3) Обеспечение безопасности общедоступной информации.

4) Обеспечение безопасности информации в ключевых системах информационной инфраструктуры.


Основные направления координации деятельности ОГВ и ОМСУ по защите информации


1) Методическое руководство деятельностью подразделений по защите информации ОГВ субъекта РФ. Методическая помощь ОМСУ в организации работ по защите информации.

2) Участие в разработке и внедрении мер по безопасности информации, обрабатываемой техническими средствами, в целях предотвращения утечки информации и воздействия на неё в ОГВ субъекта РФ и ОМСУ.

3) Оказание методической помощи ОГВ субъекта РФ и ОМСУ по выполнении требований нормативных правовых актов и методических документов по защите информации.

4) Формирование перечней государственных, муниципальных и иных информационных систем, подлежащих защите. Проведение работ по выявлению актуальных угроз безопасности информации. Участие в разработке ТЗ на создание (модернизацию) информационных систем. Представление в ФСТЭК России для проведения экспертизы тактико-технических заданий и технических проектов на создание (модернизацию) КСИИ.

5) Организация и проведение оценки эффективности проводимых мероприятий по защите информации, расследование причин и условий появления нарушений
установленных требований по защите информации.

6) Проведение семинаров, конференций, форумов, сборов, занятий по вопросам защиты информации, взаимодействие с учебными заведениями, осуществляющими подготовку, переподготовку и повышение квалификации специалистов в области ТЗИ.


Основные задачи контроля ТЗИ


Выявление каналов утечки информации об объектах защиты, каналов несанкционированного доступа к информации и специальных воздействий на информацию, анализ и инструментальная оценка возможностей технических разведок по получению информации.

Оценка эффективности проводимых мер по ТЗИ.

Выявление нарушений установленных норм и требований.

Анализ причин нарушений и недостатков в организации и обеспечении ТЗИ на объектах контроля, выработка рекомендаций по их устранению.

Оказание методической помощи.

Основными задачами государственной системы защиты информации, согласно пункту 10 Положения о ГСЗИ являются:

1) организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

2) принятие в пределах компетенции правовых актов, регулирующих отношени в области защиты информации;

3) исключение или существенное затруднение добывания информации ТСР, а также предотвращение ее утечки по техническим каналам, НСД к ней, предупреждение преднамеренных программно-технических возможностей с целью разрушения (уничтожения) или искажения информации;

4) анализ состояния и прогнозирования возможностей технических средств разведки и способов их применения;

5) создание средств защиты информации и контроля над ее эффективностью;

6) контроль состояния защиты информации в органах государственной власти и на предприятиях.


Межведомственная комиссия по защите государственной тайны


Деятельность Межведомственная комиссия регулируется Указом Президента Российской Федерации от 16 июля 2012 г. № 1008 «Вопросы Межведомственной комиссии по защите государственной тайны».

Это коллегиальный орган, основной функций которого является координация деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных правовых актов и методических документов, обеспечивающих реализацию федерального законодательства о государственной тайне. Руководство деятельностью Межведомственной комиссии осуществляет Президент Российской Федерации.


Федеральная служба по техническому и экспортному контролю (ФСТЭК России)


ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля («Вопросы Федеральной службы по техническому и экспортному контролю» - Указ Президента Российской Федерации от 16 августа 2004 г. № 1085).

Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.

ФСТЭК России осуществляет реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

1) обеспечения безопасности информации в ключевых системах информационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере.

2) противодействия иностранным техническим разведкам на территории Российской Федерации

3) обеспечения технической защиты информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом.

4) осуществления экспортного контроля.

Руководство деятельностью федеральной службы по техническому и экспортному контролю осуществляет Президент Российской Федерации.

Управление ФСТЭК России по федеральному округу осуществляет взаимодействие с аппаратом полномочного представителя Президента РФ в федеральном округе, территориальными органами федеральных органов исполнительной власти, аппаратами органов государственной власти субъекта РФ, органом исполнительной власти субъекта РФ, органами местного самоуправления, организациями, предприятиями.

ФСТЭК России осуществляет контроль:

- в аппаратах федеральных органов государственной власти;

- органов государственной власти субъектов Российской Федерации;

- федеральных органах исполнительной власти;

- органах исполнительной власти субъектов Российской Федерации;

- органах местного самоуправления;

- на предприятиях, в учреждениях и организациях.

Основные направления контроля:

1) Контроль обеспечения безопасности информации в ключевых системах информационной инфраструктуры;

2) Контроль состояния противодействия иностранным техническим разведкам;

3) Контроль состояния технической защиты информации ограниченного доступа;

4) Экспортный контроль.

Органы государственного управления (министерства, ведомства) в пределах своей компетенции:

1) определяют перечни охраняемых сведений;

2) обеспечивают разработку и осуществление мер по защите информации на подведомственных организациях;

3) организуют и координируют проведение НИОКР в области защиты информации;

4) разрабатывают по согласованию с ФСТЭК России отраслевые документы по защите информации;

5) создают отраслевые центры по защите информации и контролю эффективности принимаемых мер;

6) организуют подготовку, профессиональную переподготовку и повышение квалификации специалистов по защите информации;

7) контролируют выполнение требований по защите информации в подведомственных организациях.

Головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские организации по защите информации в пределах своей специализации:

1) разрабатывают научные основы и концепции защиты, проекты федеральных программ, нормативно-технических и методических документов по защите информации;

2) обобщают и анализируют информацию о силах и средствах технической разведки, прогнозируют её возможности;

3) осуществляют разработку (корректировку) модели иностранной технической разведки и методик оценки её возможностей;

4) проводят научные исследования и работы по созданию технических средств защиты информации и контроля над её эффективностью.


Образовательные организации


Образовательные организации высшего образования, среднего профессионального образования и дополнительного профессионального образования осуществляют:

1) подготовку специалистов с высшим и средним профессиональным образованием по направлениям подготовки и специальностям укрупненной группы 10.00.00 «Информационная безопасность»;

2) профессиональную переподготовку и повышение квалификации специалистов в области защиты информации.

Подготовка кадров для государственной системы защиты информации осуществляется при методическом руководстве ФСТЭК России.

В Федеральном законе от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации» и Федеральный закон от 2 марта 2007 г. № 25-ФЗ «О муниципальной службе в Российской Федерации» определены квалификационные требования к должностям гражданской и муниципальной службы:

- к уровню профессионального образования;

- к стажу (опыту) работы по специальности;

- к профессиональным знаниям и навыкам, необходимым для исполнения должностных обязанностей.

Конкретизируют эти требования единый квалификационный справочник должностей руководителей, специалистов и служащих, раздел «Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации», утвержденный приказом Министерства здравоохранения и социального развития Российской Федерации от 22 апреля 2009 г. № 205 и профессиональные стандарты, реестр которых находится на сайте Министерства труда и социальной защиты Российской Федерации.

Переход на профессиональные стандарты осуществляется поэтапно на основе утвержденных планов. Реализацию мероприятий планируется завершить не позднее 1 января 2020 г. (Постановление Правительства Российской Федерации от 27 июня 2016 г. № 584 «Об особенностях применения профессиональных стандартов…»).

Перечень специальностей среднего профессионального образования в области информационной безопасности:

Среднее профессиональное образование

10.02.01 «Организация и технология защиты информации»;

10.02.02 «Информационная безопасность телекоммуникационных систем»;

10.02.03 «Информационная безопасность автоматизированных систем»

Высшее образование

Бакалавриат:

10.03.01 «Информационная безопасность»;

Магистратура:

10.04.01 «Информационная безопасность»;

Специалитет:

10.05.01 «Компьютерная безопасность»;

10.05.02 «Информационная безопасность телекоммуникационных систем»;

10.05.03 «Информационная безопасность автоматизированных систем»;

10.05.04 «Информационно-аналитические системы безопасности»;

10.05.04 «Безопасность информационных технологий в правоохранительной сфере»;

10.05.06 «Криптография»;

10.05.07 «Противодействие техническим разведкам»;

Подготовка кадров высшей квалификации по программам подготовки научно-педагогических кадров в аспирантуре:

10.06.01 «Информационная безопасность».


Дополнительное профессиональное образование


Повышение квалификации:

- для государственных и муниципальных служащих проводится 1 раз в 3 года;

- для организаций проводится по мере необходимости с периодичностью, позволяющей специалистам в условиях нарастания количества угроз безопасности информации, а также с учетом необходимости постоянного совершенствования методов и средств их нейтрализации получать новые знания, умения и навыки, необходимые для профессиональной деятельности.

Объем времени, отводимый на повышение квалификации – от 40 часов. По окончанию обучения слушателям выдаются документы государственного образца - удостоверение или свидетельство о повышении квалификации.

Профессиональная переподготовка

- проводится по мере необходимости (выполнение нового вида профессиональной деятельности или получение дополнительной квалификации);

- направление определяется заказчиком

Объем времени, отводимый на профессиональную переподготовку: на получение права вести деятельность в определенной сфере – свыше 500 часов; (свыше 360 часов). По окончанию обучения слушателям выдаются диплом о профессиональной переподготовке или диплом о присвоении квалификации.

Защита информации в органах государственной власти проводится на основании ст. 4 положения о ГСЗИ путем выполнения комплекса мероприятий по:

1) Предотвращения утечки защищаемой информации от утечки по техническим каналам.

2) Предотвращение несанкционированного доступа к защищаемой информации.

3) Предупреждение преднамеренных программно-технических воздействий на защищаемую информацию.

Главные направления работ по защите информации определены ст. 6 положения о ГСЗИ:

1) Обеспечение эффективного управления системой защитой информации;

2) Определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения;

3) Анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информация путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите;

4) Разработка организационно-технических мероприятий по защите информации и их реализация;

5) Организация и проведение контроля состояния защиты информации.

Основные организационно-технические мероприятия по защите информации согласно ст. 7 положения о ГСЗИ:

1) лицензирование деятельности предприятий в области защиты информации;

2) аттестация объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;

3) сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;

4) категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонной, экономической, политической, научно-технической и других сферах деятельности государства;

5) обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;

6) оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории Российской Федерации.

7) введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;

8) создание и применение информационных и автоматизированных систем управления в защищенном исполнении;

9) разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации ВВТ, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;

10) разработка средств защиты и контроля за ее эффективностью (специального и общего применения) и их использование;

11) применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передающейся по каналам связи.

Проведение любых мероприятий и работ с использованием сведений, отнесенных к государственной или служебной тайне, без принятия необходимых мер по защите информации не допускается.


Лицензирование деятельности в области защиты информации


Положение о ГСЗИ, п.18 Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия, имеющие лицензии на право проведения работ в области защиты информации.

пункт 19. Предприятия, имеющие намерения заниматься деятельностью
в области защиты информации, должны получить соответствующую лицензию на определенный вид этой деятельности. Лицензии выдаются Государственной технической комиссией при Президенте Российской Федерации и Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии со своей компетенцией по представлению органа государственной власти.


Лицензирования деятельности в области защиты государственной тайны


Регулируется законом Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне», распространяется на деятельность, связанной с защитой государственной тайны.

Порядок получения лицензии определен Положением о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, утвержденном постановлением Правительства Российской Федерации от 15 апреля 1995 г. № 333.

Федеральные органы исполнительной власти, уполномоченные на ведение лицензионной деятельности:

- ФСТЭК России;

- ФСБ России;

- СВР России;

- Минобороны России.


Лицензирования деятельности в области защиты конфиденциальной информации


Регулируется Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности», распространяется на деятельность по технической защите конфиденциальной информации. Порядок получения лицензии определен Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденном постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79. Федеральные органы исполнительной власти, уполномоченные на ведение лицензионной деятельности - ФСТЭК России и ФСБ России.


Аттестация объектов информатизации по требованиям безопасности информации


Согласно пункта 27 положения о ГСЗИ для оценки готовности систем и средств информатизации и связи к обработке (передаче) информации, содержащей сведения, отнесенные к государственной или служебной тайне, проводится аттестование указанных систем и средств в реальных условиях эксплуатации на предмет соответствия применяемых методов, мер и средств защиты требуемому уровню безопасности информации.


Сертификации средств защиты информации


Сертификации средств защиты информации регулируется:

1) Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам связи

2) Указом Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

3) Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»

4) Положение о сертификации средств защиты информации Утверждено постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608

Информация, содержащая сведения, отнесенные к государственной или служебной тайне, должна обрабатываться с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств защиты, сертифицированных в установленном порядке.

Соответствие технического средства и его программного обеспечения требованиям защищенности подтверждаются сертификатом, выданным предприятием, имеющим лицензию на этот вид деятельности, по результатам сертификационных испытаний или предписанием на эксплуатацию, оформляемым по результатам исследований и специальных проверок технических средств и программного обеспечения.

При необходимости подключения информационных систем, информационно - телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю …..


Защита информации в системах и средствах информатизации и связи


Защите подлежит речевая информация, а также информация, обрабатываемая техническими средствами, а именно:

1) информационные ресурсы, содержащие сведения, отнесенные к государственной или служебной тайне, представленные в виде носителей на магнитной и оптической основе, информативных физических полей, информационных массивов и баз данных

2) средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации, содержащей сведения, отнесенные к государственной или служебной тайне (ОТСС)

3) технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения, отнесенные к государственной или служебной тайне, а также сами помещения, предназначенные для ведения секретных переговоров (ВТСС, ВП (ЗП)

Защита информации осуществляется путем:

1) Предотвращения перехвата техническими средствами информации, передаваемой по каналам связи. Достигается применение криптографических и иных методов и средств защиты, а также проведением организационно-технических и режимных мероприятий.

2) Предотвращения утечки обрабатываемой информации за счет ПЭМИН создаваемых функционирующими техническими средствами, а также электроакустических преобразований. Достигается применением защищенных технических средств, аппаратных средств зашиты, средств активного противодействия, экранированием зданий или отдельных помещений, установлением контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами.

3) Исключения несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации. Достигается применением специальных программно-технических средств защиты, использованием криптографических способов зашиты, а также организационными и режимными мероприятиями.

4) Предотвращения специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации. Достигается применением специальных программных и аппаратных средств защиты (антивирусные процессоры, антивирусные программы), организацией системы контроля безопасности программного обеспечения.

5) Выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств). Достигается проведением специальных проверок.

6) Предотвращения перехвата техническими средствами речевой информации из помещений и объектов. Достигается применением специальных средств защиты, проектными решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных устройств подслушивания и другими организационными и режимными мероприятиями.


Финансирование мероприятий по защите информации


Финансирование мероприятий по защите информации определяется в соответствии со статьей 55 Положения о ГСЗИ. Согласно ей финансирование мероприятий по защите информации, содержащей сведения, отнесенные к государственной или служебной тайне, а также подразделений по защите информации в органах государственной власти и на бюджетных предприятиях предусматривается в сметах расходов на их содержание.


2. Порядок обеспечения нормативными правовыми актами и методическими документами ФСТЭК России


Обеспечение нормативными методическими документами (НМД) осуществляет ФСТЭК России на основании заявки. Заявка на обеспечение НМД содержит:

- юридический адрес;

- адрес для открытой и закрытой переписки;

- возможность получения документов через органы Государственной фельдъегерской - - службы или через Управление специальной связи, в зависимости от того, с кем заключен договор о предоставлении услуг, адрес данного территориального органа;

банковские реквизиты (ИНН, КПП);

- наименование документов и количество экземпляров с обоснованием их потребности;

- должность, ФИО руководителя организации;

- ФИО, телефон, факс контактного лица.


К заявке прикладывается:


- копия лицензии на право проведения работ, связанных с использованием сведений, составляющих государственную тайну, выданную ФСБ России или ее территориальным органом;

Если организация – заявитель пользуется услугами режимно-секретного подразделения другой организации, то дополнительно представляются копии лицензий на право проведения работ, с использованием сведений, составляющих государственную тайну, и на право осуществления мероприятий и (или) оказание услуг в области защиты государственной тайны, выданные этой организации ФСБ России или ее территориальным органом.

- копия лицензии ФСТЭК России по противодействию иностранным техническим разведкам (в случае приобретения НМД по ПД ИТР).

Обеспечение государственными стандартами в области ГСЗИ осуществляет ФГУП «Стандартинформ».