Система технической защиты информации в органах государственной власти (организациях)


1. Структура, задачи и функции системы технической защиты информации в органах государственной власти (организациях).


2. Организационно - распорядительные документы по защите информации в организации.


Иностранная техническая разведка (ИТР) - деятельность иностранного государства по добыванию разведывательной информации с помощью технических систем, средств и аппаратуры. Основная цель ее деятельности – информационное превосходство в информационном пространстве.

Классификация технических разведок:

а) в зависимости от носителей средств технической разведки:

- наземная;

- морская;

- воздушная;

- космическая.

б) в зависимости от применяемых средств технической разведки:

- видовая;

- сигнальная;

- специальная.

в) в зависимости от средства технической разведки:

- стационарная;

- автономная автоматическая;

- портативная – носимая и возимая.

Аппаратура технической разведки – совокупность технических устройств обнаружения, приема, регистрации, измерения и анализа, предназначенная для получения разведывательной информации. Всего насчитывается 28 видов ИТР - визуальная оптическая разведка (ВЗОР), оптико-электронная разведка (ОЭР) фотографическая разведка (ФР), радиоэлектронная разведка (РЭР), техническая компьютерная разведка (ТКР), акустическая разведка (АР), гидроакустическая разведка (ГАР) и др.


1. Структура, задачи и функции системы технической защиты информации в органах государственной власти (организациях).


Основным нормативным документом в области технической защиты информации в органах государственной власти является Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам, утвержденное постановлением Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. № 912-51. (Положения о ГСЗИ).

Главной целью защиты информации является предотвращение возможности нанесения ущерба национальным интересам России в военной, экономической, научно-технической и других областях.

Работы по защите информации для обеспечения безопасности государства в информационной сфере в органах государственной власти и в организациях проводятся с целью противодействия техническим разведкам, предотвращение утечки защищаемой информации по техническим каналам и за счет несанкционированного доступа, а также предупреждению преднамеренных воздействий на нее.

Противодействие иностранным техническим разведкам (ПД ИТР) – деятельность, направленная на исключение или затруднение получения иностранными техническими разведкам разведывательной информации.

Техническая защита информации (ТЗИ) – деятельность, направленная на ограничение или исключение возможностей по получению, уничтожению или блокированию защищаемой информации с применением технических средств и осуществляемая организационными, программными и техническими (некриптографическими) мерами защиты информации от ее утечки по техническим каналам, несанкционированного доступа к ней и специальных воздействий на нее.

Согласно статье 4 Положения о ГСЗИ защита информации осуществляется путем выполнения комплекса мероприятий по:

- Предотвращения утечки защищаемой информации от утечки по техническим каналам;

- Предотвращение несанкционированного доступа к защищаемой информации;

- Предупреждение преднамеренных программно-технических воздействий на защищаемую информацию.

Разработка системы защиты информации в организации происходит в несколько этапов:

- I этап - Анализ и определение защищаемой информации;

- II этап - Выявлению угроз безопасности информации и определению вероятных технических каналов утечки информации, оценке возможностей технических разведок;

- III этап - Разработка организационно-технических мероприятий по защите информации;

- IV этап - Реализацией организационно-технических мероприятий по защите информации и осуществлением контроля.

Направления работ по защиты информации определяет статья 6 положения.

1. Определение сведений, охраняемых от технических средств разведки -

анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информация путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите.

2. Разработка организационно-технических мероприятий по защите информации и их реализация

3. Контроль состояния защиты информации


Основные организационно-технические мероприятия по защите информации (Статья 7. Положения о ГСЗИ)


1. лицензирование деятельности предприятий в области защиты информации;

2. аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;

3. сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;

4. обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;

5. оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории Российской Федерации;

6. введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;

7. создание и применение информационных и автоматизированных систем управления в защищенном исполнении;

8. разработка и внедрение технических решений и элементов защиты информации при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;

9. применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передающейся по каналам связи.

Проведение любых мероприятий и работ с использованием сведений, отнесенных к государственной или служебной тайне , без принятия необходимых мер по защите информации не допускается.


Объектовая системы защиты информации


Объект защиты - материальный объект, являющийся носителем сведений, составляющих государственную и служебную тайну, и (или) объект, на котором циркулирует или обрабатывается техническими средствами и (или) произносится, воспроизводится речевая информация, содержащая сведения, составляющие государственную и служебную тайну, в интересах защиты которого осуществляется ПД ИТР и ТЗИ.

К Объектовому уровню относятся предприятия (организации, учреждения) независимо от форм собственности и ведомственной принадлежности, проводящие работы по оборонной тематике или другие работы с использованием сведений, отнесенных к государственной или служебной тайне, их подразделения (специалисты) по защите информации.

Категорирование объектов, согласно пункту 41 Положения о ГСЗИ по требованиям обеспечения защиты информации осуществляется на 3 категории: первая, вторая и третья.

Так, объектом 3 категории является объекты, на которых необходимо обеспечить защиту информации, циркулирующей в технических средствах. На объектах третьей категории выполняется комплекс основных организационных и технических мероприятий по защите информации в системах и средствах информатизации и связи.

Согласно ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»

Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно – распорядительными и нормативными документами по защите информации.

Система защиты информации включает в себя:

- органы и исполнители;

- техника защиты информации;

- объекты защиты;

- документы по защите информации.

Органы и исполнители включают в себя:

- руководитель организации;

- заместитель руководителя;

- постоянно действующая техническая комиссия (ПДТК);

- экспертная комиссия;

- подразделения по защите гостайны;

- подразделение (специалист) по защите информации;

- исполнители структурных подразделений.

Техника защиты информации – средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Средства защиты информации:

1) Технические средства защиты информации.

2) Технические средства контроля эффективности защиты информации.

3) Средства и системы, в которых они реализованы.

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Объектами защиты являются:

1) Автоматизированные (информационные) системы.

2) Выделенные (защищаемые) помещения.

3) Средства изготовления и размножения документов.


Базовый состав документов по защите информации в организации


К основному перечню документов по защите информации в организации относятся:


1) Руководство по защите информации.

2) Положение о порядке организации и проведении работ по защите конфиденциальной информации.

3) Документы, регламентирующие деятельность ПДТК (ЭК) (положение, планы, решения, отчеты.

4) Эксплуатационная документация на объекты информатизации.

5) Положение о подразделении по защите информации.

6) Документы, регламентирующие деятельность подразделений (специалистов) по защите информации (приказы, планы, отчёты.

7) Документы, регламентирующие порядок организации работ по приему иностранных граждан.

Согласно Положения о ГСЗИ, непосредственное руководство работами по защите информации осуществляют руководители органов государственной власти или их заместители.

Государственную аттестацию руководителей предприятий, учреждений и организаций, ответственных за защиту сведений, составляющих государственную тайну осуществляет вышестоящая структура управления, как правило, при назначении на должность.

При этом руководствуются:

1) Решением Межведомственной комиссии по защите государственной тайны от 13 марта 1996 г. № 3 «Методические рекомендации по организации и проведению государственной аттестации руководителей предприятий, учреждений и организаций, ответственных за защиту сведений, составляющих государственную тайну».

2) Решением МВК от 28 апреля 2015 г. № 305 «О перечне организаций, осуществляющих образовательную деятельность, по окончании которых выдается документ образовании и (или) о квалификации, дающий право руководителям организаций, ответственных за защиту сведений, оставляющих государственную тайну, считаться прошедшими государственную аттестацию».

3) Постановлением Правительства Российской Федерации от 15 апреля 1995 г. № 333 «Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».

Обязанности руководителя в области защиты информации должны быть отражены в уставе или положение об организации, в руководстве по защите информации (положении о защите конфиденциальной информации).

Руководитель организации определяет необходимые силы и средства для организации защиты информации в организации, назначает одного из своих заместителей, осуществляющего непосредственное руководство работами по защите информации (при наличии).

Руководитель организации организует деятельность объектовой системы защиты информации, осуществляет общее руководство деятельностью объектовой системы защиты информации, контроль над эффективностью принимаемых мер защиты информации.

Обязанности в области защиты информации заместителя руководителя организации, зафиксированные в руководстве по защите информации (Положении о защите конфиденциальной информации) и должностной инструкции (регламенте):

- постоянно изучать все стороны и направления деятельности организации для принятия своевременных мер по защите информации;

- обеспечивать организационное и научно-техническое руководство деятельностью ПДТК и экспертной комиссии;

- осуществлять организационное руководство мероприятиями по лицензированию организации;

- участвовать в изучении и анализе производственно-технической деятельностью предприятия с целью выявления и закрытия возможных каналов утечки секретной информации;

- руководить работой подразделения по защите информации;

- выполнять другие функции по организации защиты информации в ходе проведения предприятием всех видов работ.

Согласно пункту 15 Положения о ГСЗИ в целях обеспечения принципа коллегиальности при рассмотрении важнейших вопросов защиты информации в органах государственной власти могут создаваться технические комиссии, межотраслевые или отраслевые советы

Постоянно действующая техническая комиссия по защите государственной тайны (ПДТК) образована Распоряжением Правительства Российской Федерации от 28 июня 2001 г. N 852-р «Об образовании постоянно действующих технических комиссий по защите государственной тайны». Деятельность технических комиссий регулируется Положением о постоянно действующих технических комиссиях по защите государственной тайны, утвержденом совместным приказом Гостехкомиссии России и ФСБ России от 28 июля 2001 г. № 309/405дсп.

ПДТК назначается приказом руководителя организации, председателем ПДТК является заместитель руководителя организации, секретарем ПДТК – сотрудник РСО или подразделения по ЗИ. Персональный состав ПДТК - заместители руководителя, руководители основных структурных подразделений, режимно-секретного подразделения и подразделения (специалиста) по защите информации.

ПДТК осуществляет свою деятельность на основании положения о постоянно действующей технической комиссии по защите государственной тайны организации. Разрабатывается Положения о ПДТК в соответствии с совместным приказом Гостехкомиссии России и ФСБ России от 28 июля 2001 г. № 309/405дсп или приказе о назначении ПДТК определяется, что в своей деятельности ПДТК организации руководствуется Положением о ПДТК , утвержденным совместным приказом Гостехкомиссии России и ФСБ России от 28 июля 2001 г. № 309/405дсп.

План работы ПДТК по защите государственной тайны составляется на календарный год.


Основные функции ПДТК:


1) Выработка рекомендаций, направленных на обеспечение установленного режима секретности.

2) Своевременное выявление и закрытие возможных каналов неправомерного распространения сведений, составляющих государственную тайну.

3) Организация и координация работ по ПД ИТР и ТЗИ.

4) Совершенствование системы физической защиты объектов.

5) Проведение экспертизы материалов, предназначенных для открытого опубликования.

Экспертная комиссия (ЭК) назначается приказом руководителя организации. Функции экспертной комиссии могут возлагаться на ПДТК организации на основании приказа и Положения о ПДТК. Персональный состав ЭК - заместители руководителя, руководители основных структурных подразделений, компетентные в соответствующей области специалисты организации, эксперты, работники режимно-секретного подразделения и подразделения (специалиста) по защите информации.

ЭК осуществляет свою деятельность на основании положения об экспертной комиссии организации либо функции ЭК включаются в Положение о ПДТК организации. Экспертная комиссия проводит работу по мере необходимости.

Экспертная комиссия при экспертизе материалов, предназначенных для открытого опубликования, руководствуется Рекомендациями по проведению экспертизы материалов, предназначенных к открытому опубликованию, установленными

Решением Межведомственной комиссии по защите государственной тайны от 30 октября 2014 г. № 293.

По результатам работы экспертной комиссии оформляются :

- Протоколы;

- Экспертные заключения;

- Приказы;

- Другие распорядительные документы.

Возложение одновременно функций по проведению экспертизе материалов, предназначенных для открытого опубликования на ПДТК и ЭК не рекомендуется.

Функции по защите информации в органах государственной власти осуществляются подразделениями (штатными специалистами) по защите информации.

Назначение на должности и освобождение от должности руководителей этих подразделений производятся по согласованию с ФСТЭК России

Согласно статьи 18 Положения о ГСЗИ в зависимости от объема работ по защите информации руководителем предприятия создается структурное подразделение по защите информации либо назначаются штатные специалисты по этим вопросам.

Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю. Работники этих подразделений (штатные специалисты) приравниваются по оплате труда к соответствующим категориям работников основных структурных подразделений.

Статьей 10 Инструкции по обеспечению режима секретности в Российской Федерации, утвержденной Постановлением Правительства Российской Федерации от 4 января 2004 г. № 3-1 установлено, что подразделения по технической защите информации относятся к подразделениям по защите государственной тайны.

Согласно пункту 9 Приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.

Пункт 10 Приказа от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» также говорит о необходимости назначения структурного подразделения или должностного лица (работника), ответственного за защиту информации.

Согласно Постановлению Правительства РФ от 1 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» для обеспечения 2 и 3-го уровня защищенности персональных данных при их обработке в информационных системах, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

Согласно этого же Постановления, для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах необходимо, создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Руководители в зависимости от объема работ принимают решение о создании подразделения (введении должностей(и) специалистов(а)) по технической защите информации и наделении их необходимыми полномочиями, в том числе полномочиями по координации и оказанию необходимой методической помощи, а также контролю за организацией работ и выполнением мероприятий по ТЗИ в отношении подведомственных организаций.

В штатном расписании аппаратов органов государственной власти субъектов Российской Федерации, органов исполнительной власти субъекта Российской Федерации и органов местного самоуправления должны быть определены подразделение по технической защите информации или специалист по технической защите информации или специалисты, на которых обязанности по технической защите информации возложены в дополнение к основным задачам, предусмотренным должностным регламентом или предприятие, на которое возлагаются функции структурного подразделения по технической защите информации.

В должностные регламенты специалиста по технической защите информации включены:

- квалификационные требования к профессиональным знаниям и навыкам, необходимым для исполнения должностных обязанностей по технической защите информации,

- должностные обязанности, права и ответственность гражданского служащего за неисполнение (ненадлежащее исполнение) должностных обязанностей в области информационной безопасности.

Специалисты по ТЗИ подчиняются непосредственно руководителю аппарата органа государственной власти субъекта Российской Федерации, органа исполнительной власти субъекта Российской Федерации ….. (заместителю руководителя органа власти и управления, отвечающему за вопросы защиты информации) или входят в состав одного из технических, научно-технических или специальных подразделений органа государственной власти региона (органа местного самоуправления). При этом в положение об указанных подразделениях должны быть включены вопросы технической защиты информации.

Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации» определены квалификационные требования к должностям гражданской службы:

- к уровню профессионального образования;

- к стажу (опыту) работы по специальности;

- к профессиональным знаниям и навыкам, необходимым для исполнения должностных обязанностей.

В должностных регламентах государственных и муниципальных служащих, замещающих должности специалистов по технической защите информации, должны быть включены квалификационные требования к профессиональным знаниям и навыкам, необходимым для исполнения должностных обязанностей.

Эти квалификационные требования установлены Приказом Минздравсоцразвития России от 22 апреля 2009 г. № 205 «Единый квалификационный справочник должностей руководителей, специалистов и служащих», раздел «Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации» и Приказом Министерства труда и социальной защиты Российской Федерации от 3 апреля 2013 г. № 135н «Типовые межотраслевые нормы труда (нормы времени) на работы по обеспечению защиты государственной тайны в подразделениях по противодействию иностранным техническим разведкам и технической защите информации».

Профессиональные стандарты:

1) Профессиональный стандарт «Специалист по технической защите информации» Приказ Министерства труда и социальной защиты Российской Федерации от 1 ноября 2016 г. № 599н.

2) Профессиональный стандарт «Специалист по безопасности компьютерных систем и сетей» Приказ Министерства труда и социальной защиты Российской Федерации от 1 ноября 2016 г. № 599н.

3) Профессиональный стандарт «Специалист по защите информации в телекоммуникационных системах и сетях» Приказ Министерства труда и социальной защиты Российской Федерации от 3 ноября 2016 г. № 608н.

Постановлением Правительства Российской Федерации от 27 июня 2016 г. № 584 установлены особенности применения профессиональных стандартов в организациях.

В соответствии с нормативным правовым актом организации с учетом мнения представительного органа работников утверждают:

- планы по организации применения профессиональных стандартов;

- список профессиональных стандартов, подлежащих применению.

Организация определяет потребность в профессиональном образовании (обучении) и (или) дополнительном профессиональном образовании работников на основе анализа квалификационных требований, содержащихся в профессиональных стандартах.

В плане приводится перечень локальных нормативных актов и других документов организации, в том числе по вопросам аттестации, сертификации и других форм оценки квалификации работников, подлежащих изменению с учетом требований профессиональных стандартов. Реализацию плановых мероприятий необходимо завершить до 1 января 2020 г.

Профессиональные стандарты устанавливают требования к профессиональным знаниям и навыкам специалистов по защите информации.

В статье 195.3. «Порядок применения профессиональных стандартов» Трудового кодекса Российской Федерации определено, что, если настоящим Трудовым кодексом, другими федеральными законами, иными нормативными правовыми актами Российской Федерации установлены требования к квалификации, необходимой работнику для выполнения определенной трудовой функции, профессиональные стандарты в части указанных требований обязательны для применения работодателями.

В статье 196. «Права и обязанности работодателя по подготовке и дополнительному профессиональному образованию работников» Трудового кодекса установлено, что для собственных нужд работодатель определяет необходимость подготовки работников (профессиональное образование и профессиональное обучение) и дополнительного профессионального образования.

Задачи в области обеспечения безопасности информации в органах государственной власти субъектов Российской Федерации и органах местного самоуправления должны решать государственные и муниципальные служащие, имеющие высшее профессиональное образование по направлению «Информационная безопасность».

Указанные специалисты должны с периодичностью не реже 1 раза в 3 года проходить обучение по дополнительным профессиональным программам
в области информационной безопасности продолжительностью не менее 40 часов.

Или имеют высшее техническое образование по направлениям подготовки (специальностям), смежным с направлением подготовки «Информационная безопасность», и прохождение обучения по дополнительным профессиональным программам в области информационной безопасности профессиональной переподготовки продолжительностью - не менее 360 часов.

К смежным с направлением подготовки «Информационная безопасность», относятся направления подготовки (специальности) в государственных образовательным стандартах которых предусмотрен курс по информационной безопасности.

Постановление Правительства Российской Федерации от 6 мая 2016 г. № 399 определяет правила организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса.

Наличие в структуре подразделений (количество специалистов) по ТЗИ определяется в зависимости от объема работ в данном направлении.

Необходимо учесть следующие факторы:

- количество объектов информатизации (выделенные помещения, автоматизированные системы, средства изготовления и размножения документов), обрабатывающих информацию, содержащую сведения, составляющие государственную тайну;

- количество объектов информатизации (защищаемые помещения, автоматизированные системы, средства изготовления и размножения документов), обрабатывающих информацию ограниченного доступа, не содержащую сведений, составляющих государственную тайну;

- количество государственных (муниципальных) информационных систем, в том числе региональных сегментов федеральных государственных информационных систем, иных информационных систем их масштаб и количество пользователей;

- наличие собственного сайта органа государственной власти субъекта Российской Федерации (органа местного самоуправления);

- количество городских и сельских поселений, находящихся в пределах территории муниципального района, в отношении которых необходимо проводить мероприятия по координации и оказанию методической помощи по вопросам технической защиты информации (для органов местного самоуправления уровня муниципальный район);

- количество организаций, подведомственных органу государственной власти субъекта Российской Федерации (органу местного самоуправления);

- количество организаций, контрольный пакет акций которых принадлежит субъекту Российской Федерации (органу местного самоуправления).

При наличии объектов информатизации, на которых обрабатывается (должна обрабатываться) информация, содержащая сведения, составляющие государственную тайну, подразделения (специалисты) по технической защите информации должны решать задачи обеспечения безопасности информации в полном объеме, в том числе на указанных объектах информатизации.

С учетом этого подразделения (специалисты) по технической защите информации должны быть отнесены к подразделениям (специалистам) по защите государственной тайны с обязательным оформлением (переоформлением) допуска к государственной тайне с проведением органами безопасности проверочных мероприятий.

Статья 14 Положения о ГСЗИ говорит о том, что назначение на должности и освобождение от должности руководителей этих подразделений производятся по согласованию с ФСТЭК России (его территориальным управлением).

Для согласования назначения на должность руководителей подразделений (специалистов) по технической защите информации готовятся следующие документы:

1) Справка по кандидату к назначению на должность.

2) Копии документов о переподготовке и (или) повышении квалификации по вопросам ТЗИ за последние три года.

3) Копия должностного регламента руководителя подразделения (специалиста) по технической защите информации.

4) Копия положения о подразделении по ТЗИ (подразделения, в состав которого входят специалисты по ТЗИ или устава предприятия, на которое возлагаются функции структурного подразделения по ТЗИ, и положения о подразделении по ТЗИ в его составе.

Документы, указанные выше, до назначения на должность направляются в головное подразделение по ТЗИ региона, где:

1) Рассматриваются представленные документы.

2) Проводится анализ достаточности специалистов по ТЗИ.

3) Принимается решение о возможности согласования назначения на должность.

4) Документы по согласованию назначения на должность, направляются в территориальное Управление ФСТЭК России.

Управление ФСТЭК России по федеральному округу рассматривает полученные материалы и при положительном решении направляет через головное подразделение по ТЗИ региона свидетельство о согласовании назначения на должность руководителя подразделения (специалиста) по технической защите информации.

Подлежат согласованию руководитель подразделения по технической защите информации и специалисты по ТЗИ (специалисты, в должностные регламенты которых включены квалификационные требования к профессиональным знаниям и навыкам, необходимым для исполнения должностных обязанностей по технической защите информации, а также должностные обязанности, права и ответственность гражданского служащего за неисполнение (ненадлежащее исполнение) должностных обязанностей в области информационной безопасности).

Согласование возложения обязанностей по технической защите информации на специалистов, для которых данные обязанности являются дополнительными к основным задачам, предусмотренным должностным регламентом, осуществляется головными подразделениями по технической защите информации.

При этом в Управление ФСТЭК России по федеральному округу направляется заключение о достаточности такого специалиста для решения задач по технической защите информации в аппарате органа государственной власти субъекта Российской Федерации, органе исполнительной власти субъекта Российской Федерации.

Согласование руководителей подразделений по защите информации на предприятиях производится на основании Приказа Гостехкомиссии России от 7 сентября 2001 г. № 364 «О согласовании назначения на должность и освобождения от должности руководителей подразделений по ПД ИТР и ТЗИ».

Форма представляемых документов для согласования в территориальный орган ФСТЭК России определена Приказом ФСТЭК России от 14 декабря 2010 г. № 687.

Задачи, функции и права подразделения (специалиста) по защите информации определяются положением о подразделении по защите информации и должностной инструкцией (регламентом) специалиста по ТЗИ.

Подразделение (специалист) осуществляет свою деятельность на основании плана работы подразделения по ЗИ на календарный год (полугодие, квартал) и ежемесячного (ежеквартального) плана работы подразделения по ЗИ, которые формируются на основании руководства по защите информации в организации и положения о защите конфиденциальной информации в организации.


Руководитель структурного подразделения организации


Пункт 23 Положения о ГСЗИ говорит о том, что организация защиты информации в системах и средствах информатизации и связи возлагается на руководителей подразделений, эксплуатирующих эти системы и средства.

Они осуществляют свою деятельность на основании положения о структурном подразделении организации и должностной инструкции (регламента) руководителя подразделения. Этими документами определяются общие обязанности по защите информации, конкретизируются же эти обязанности руководством по защите информации в организации, положением о защите конфиденциальной информации в организации и инструкцией по защите информации при обработке на СВТ и т.п.

Руководитель подразделения обязан:

1) обеспечивать принятие предусмотренных мер защиты информации в процессе работы подчиненного подразделения;

2) контролировать выполнение мероприятий по защите информации и эксплуатацию средств защиты в соответствии с требованиями изложенными в инструкциях по защите информации на объектах информатизации;

3) проводить не реже двух раз в год под роспись инструктаж подчиненных по выполнению требований инструкций по защите информации (при изменении требований по защите информации – немедленно).


Исполнитель


Согласно пункту 23 Положения о ГСЗИ ответственность за обеспечение защиты информации – возлагается непосредственно на пользователя (потребителя) информации.

Исполнитель осуществляет свою деятельность на основании должностной инструкция (регламента) работника, в которой определяются общие обязанности по защите информации. Конкретизируются эти обязанности также руководством по защите информации в организации, положением о защите конфиденциальной информации в организации и инструкцией по защите информации при обработке на СВТ и т.п.


2. Организационно-распорядительные документы по защите информации в организации


Примерный состав документов по защите информации


1. Нормативные документы

1) Руководство по защите информации от технических разведок и от ее утечки по техническим каналам.

2) Положение о порядке организации и проведении работ по защите конфиденциальной информации.

3) Положение о подразделении (специалисте) по защите информации.

4) План мероприятий по обеспечению защиты государственной тайны и технической защиты информации (отдельный раздел годового плана основной деятельности).

5) Инструкция по обеспечению режима секретности при обработке секретной информации (по обеспечению безопасности информации) с использованием средств вычислительной техники.

6) Инструкция о порядке приема иностранных граждан и защите информации при работе с иностранными гражданами.

2. Приказы руководителя:

- о создании постоянно действующей технической комиссии по защите государственной тайны;

- о создании экспертной комиссии по проведению экспертизы материалов, предназначенных к открытому опубликованию;

- о назначении должностных лиц, ответственных за техническую защиту информации;

- о проведении аттестационных испытаний объекта информатизации;

- о проведении периодического контроля эффективности принимаемых мер и средств защиты информации на объектах информатизации;

- о вводе в эксплуатацию объекта информатизации;

- о выводе из эксплуатации объекта информатизации.

3. Документы заявителя для проведения аттестационных испытаний

Рассмотрим более подробно содержание некоторых должностных документов. Согласно пункту 45 Положения о ГСЗИ содержание и порядок осуществления мероприятий по защите информации определяются в Руководстве по защите информации, разрабатываемом на каждом объекте.

Руководство по защите информации от технических разведок и от её утечки по техническим каналам, является основным локальным руководящим документом, определяющим порядок и содержание работ по технической защите информации на объекте. Разработку документа организует руководитель организации силами специалистов по защите информации и основных структурных подразделений.

Типовые требования к содержанию и порядку разработки руководства по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на объекте одобрены решением Гостехкомиссии России от 3 октября 1995 г. № 42.

Организация работ по созданию и эксплуатации объектов информатизации и их средств защиты информации определяется в разрабатываемом «Положении о порядке организации и проведения работ по защите конфиденциальной информации» или в приложении к «Руководству по защите информации от утечки по техническим каналам на объекте».

Положение разрабатывается подразделением по защите информации и утверждается руководителем организации.

В документе должны быть отражены следующие вопросы:

1) порядок определения защищаемой информации;

2) порядок привлечения подразделений и организаций к разработки и эксплуатации объектов информатизации;

3) порядок взаимодействия занятых в этой работе специалистов;

4) порядок разработки, ввода в эксплуатацию объектов информатизации;

5) ответственность должностных лиц за своевременность и качество выполнения требований по защите информации.

Положении о порядке организации и проведения работ по защите конфиденциальной информации рекомендуется разрабатывать по форме и содержанию руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте, утвержденному решением Гостехкомиссии России от 3 октября 1995 г. № 42.

Основные функции, права и порядок финансирования подразделения (специалиста) по защите информации определяет типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации или типовым положением о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации) одобренных решением Гостехкомиссии России от 14 марта 1995 г. №32.

Если существуют подведомственные (подчиненные) организации, в отношении которых проводится координация и методическое руководство по вопросам защиты информации, то следует руководствоваться типовым положением о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации. В противном случае следует руководствоваться типовым положением о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации).


Основные функции подразделения (специалиста по защите информации):


1) планирование работ по защите информации в организации, предусматривающее задачи подразделениям по решению конкретных вопросов по защите информации, организацию их выполнения, а также контроль за их эффективностью;

2) участие в подготовке организации к аттестованию на право проведения работ с использованием сведений, отнесенных к государственной тайне;

3) организация разработки нормативно-методических документов по защите информации в организации;

4) определение:

- демаскирующих признаков организации и выпускаемой продукции;

- видов и средств иностранной технической разведки, которые позволяют получить сведения о деятельности организации;

- технических каналов утечки информации;

- возможности несанкционированного доступа к информации, ее разрушения (уничтожения) или искажения и разработка соответствующих мер по защите информации.

5) разработка проектов распорядительных документов по вопросам организации защиты информации;

6) разработка предложений по совершенствованию системы защиты;

7) разработка совместно с другими основными подразделениями Руководства по защите информации в организации;

8) разработка комплекса мероприятий по защите государственной тайны при установлении и осуществлении связей с зарубежными фирмами, а также при посещении организации иностранными представителями;

9) проведение периодического контроля эффективности мер защиты информации в организации. Учет и анализ результатов контроля;

10) участие в расследовании нарушений в области защиты информации и разработка предложений по устранению и предупреждению подобного рода нарушений;

11) подготовка отчетов о состоянии работ по защите информации;

12) организация проведения занятий с руководящим составом и специалистами организации по вопросам защиты информации.


Подразделение (специалист) по защите информации имеет право:


1) допуска к работам и документам основных структурных подразделений организации, необходимым для оценки принимаемых мер по защите информации и подготовки предложений по их дальнейшему совершенствованию;

2) готовить предложения о привлечении к проведению работ по защите информации на договорной основе организации, имеющего лицензию на соответствующий вид деятельности;

3) контролировать деятельность любого структурного подразделения по выполнению требований по защите информации;

4) участвовать в работе коллегиальных органов организации при рассмотрении вопросов защиты информации;

5) вносить предложения руководителю организации о приостановке работ в случае обнаружения утечки (или предпосылки к утечке) информации, содержащей сведения, отнесенные к государственной или служебной тайне.


Инструкция по обеспечению режима секретности при обработке секретной информации с использованием средств вычислительной техники


Порядок обработки секретной информации на объектах вычислительной техники должен быть изложен в единой для организации инструкции, которая разрабатывается на основании Типовой инструкции по обеспечению режима секретности при обработке секретной информации (по обеспечению безопасности информации) с использованием средств вычислительной техники, одобренной решением Межведомственной комиссии по защите государственной тайны от 9 октября 2009 г. № 172. Разделы разрабатываемой инструкции должны соответствовать Типовой инструкции.


Порядок приема иностранных граждан (делегаций)


В порядке должны быть отражены:

1) Положение о приеме иностранных граждан.

2) Программа приема иностранных граждан (делегаций).

3) План мероприятий по обеспечению режима секретности на период пребывания иностранных граждан (делегаций).

При этом следует учитывать, что нормативными правовыми актами предусмотрена возможность ведения иностранными гражданами разведки при непосредственно с территории предприятия.

В ходе посещения сокращаются границы контролируемой зоны для объектов информатизации, задействованных в обработке защищаемой информации, относительно маршрутов передвижения иностранных делегаций (граждан).

Требования к содержанию всех названных документов отражены в РД 50-34.698-90

«Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов»


Документы по защите информации на объекте:


1. журнал администратора безопасности;

2. журнал учета работы автоматизированной системы;

3. журнал учета печати документов;

4. инструкция администратора безопасности;

5. инструкция пользователя;

6. инструкция по антивирусной защите.