Особенности законодательства по защите информации в органах государственной власти
1. Государственная система защиты информации 2. Порядок обеспечения документами по ТЗИ
1. Государственная система защиты информации
Государственная система защиты информации (ГСЗИ) – совокупность органов государственной власти, органов местного самоуправления и организаций, участвующих в организации, обеспечении или осуществлении противодействия иностранным техническим разведкам и технической защиты информации, а также используемых ими методов, способов и средств.
Основные направления ГСЗИ - противодействие иностранным техническим разведкам и техническая защита информации.
Противодействие иностранным техническим разведкам (ПД ИТР) – деятельность, направленная на исключение или затруднение получения иностранными техническими разведкам разведывательной информации.
Техническая защита информации (ТЗИ) – деятельность, направленная на ограничение или исключение возможностей по получению, уничтожению или блокированию защищаемой информации с применением технических средств и осуществляемая организационными, программными и техническими (некриптографическими) мерами защиты информации от ее утечки по техническим каналам, несанкционированного доступа к ней и специальных воздействий на нее.
Федеральные нормативные документы
- Конституция Российской Федерации
- Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности» - ст. 8 «Президент Российской Федерации: … 2) утверждает стратегию национальной безопасности Российской Федерации, иные концептуальные и доктринальные документы в области обеспечения безопасности»;
- Доктрина информационной безопасности РФ, утвержденная Указом Президента Российской Федерации от 5 декабря 2016 г. N 646, которая определяет основы государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры РФ.
- Стратегия развития информационного общества в Российской Федерации на 2017- 2030 годы, утвержденная, Указом Президента Российской Федерации от 9 мая 2017 г. N 203, которая устанавливает основные направления государственной политики в области международной информационной безопасности на период до 2020 года.
Информационная безопасность – это составная часть национальной безопасности РФ наряду с политической, военной, экономической, социальной и экологической безопасностью.
Государственная система защиты информации является составной частью системы обеспечения национальной безопасности Российской Федерации и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере.
Организацию деятельности государственной системы защиты информации, а также руководство указанной системой осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России).
Деятельность государственной системы защиты информации осуществляется на основе:
- законности;
- подконтрольности Президенту Российской Федерации;
- разграничении полномочий федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, интегрированных структур оборонно-промышленного комплекса и организаций по защите информации, а также отдельными должностными лицами.
Уровни функционирования ГСЗИ
Наименование уровня | Область распространения деятельности | Состав участвующих элементов государственной системы | Координирующий (организующий) элемент |
---|---|---|---|
Федеральный | Территория Российской Федерации | Государственные органы федерального уровня | Центральный аппарат ФСТЭК России |
Межрегиональный | Территория федерального округа | Территориальные органы ФОИВ, совещательный орган при полномочном представителе Президента | Территориальный орган ФСТЭК России |
Региональный | Территория субъекта Российской Федерации | Территориальные органы ФОИВ, органы государственной власти и совещательные органы субъекта Российской Федерации, органы местного самоуправления | Территориальный орган ФСТЭК России |
Отраслевой | Отдельная отрасль экономики | ФОИВ, территориальные органы ФОИВ, организации отрасли Корпоративные структуры, организации отрасли | ФОИВ (головная организация отрасли, головная организация корпорации) (при координирующей роли цент-рального аппарата и территориаль-ных органов ФСТЭК России) |
Объектовый | Организация или иной стационарный объект защиты от ИТР | Организация (стационарный объект) | Структурное подразделение (штатные специалисты) по ПД ИТР и ТЗИ (при координирующей роли цент-рального аппарата и территориаль-ных органов ФСТЭК России) |
Структурные уровни государственной системы защиты информации
Федеральный уровень:
- Президент Российской Федерации;
- Военное–промышленная комиссия при Президенте;
- Правительство Российской Федерации - межведомственная комиссия по защите государственной тайны;
- Совет Безопасности Российской Федерации - межведомственная комиссия по информационной безопасности;
- Государственная дума Российской Федерации - подкомитет по информационной безопасности;
- ФСТЭК России;
- ФСБ России;
- ФСО России;
- Служба внешней разведки России;
- МВД России.
Межрегиональный уровень (федеральный округ):
- Полномочный представитель Президента Российской Федерации в федеральном округе;
- Управление ФСТЭК России в федеральном округе;
- Управление ССИ ФСО России в федеральном округе;
- Территориальные органы федеральных органов исполнительной власти в федеральных округах Российской Федерации;
- Координационный орган в сфере образовательной деятельности по вопросам защите информации.
Региональный уровень (субъект Российской Федерации):
- Высшее должностное лицо субъекта Российской Федерации;
- Советы (Комиссии) по защите информации;
- Управления ФСБ России в субъектах Российской Федерации вместе с аттестационным центром ФСБ России;
- Центры ССИ ФСО России в субъектах Российской Федерации;
- Территориальные органы федеральных органов исполнительной власти в субъектах Российской Федерации;
- Органы по аттестации объектов информатизации по требованиям безопасности информации - испытательные лаборатории, аттестационные центры ФСТЭК России;
- Образовательные организации, осуществляющие подготовку, профессиональную переподготовку и повышение квалификации кадров в области защиты информации.
Ведомственный (отраслевой) уровень:
- Федеральные органы исполнительной власти;
- Территориальные органы федеральных органов исполнительной власти;
- Подведомственные организации (учреждения, предприятия);
- Головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские организации по защите информации органов государственной власти.
Основные задачи региональных Советов (Комиссий) по защите информации
- Определение концептуальных подходов и приоритетных направлений по ЗИ в регионе.
- Анализ выполнения законов, решений Президента и Правительства Российской Федерации, приказов и указаний руководителей органов государственной власти
- Анализ состояния ЗИ. Выполнение решений окружного Координационного Совета
- Разработка предложений по организации и координации работ в области защиты информации
- Анализ проектов региональных программ информатизации в части реализации требований по ЗИ
- Разработка предложений по подготовке кадров для региональной системы ЗИ
- Анализ вопросов обеспечения органов власти и подведомственных организаций субъекта РФ средствами ТЗИ и контроля
- Создание (совершенствование) системы повышения квалификации специалистов по вопросам защиты информации
- Координация работ по защите информации в органах исполнительной власти, органах местного самоуправления и подведомственных им организациях
Работа по защите информации осуществляется через подразделение по технической защите информации и по защите государственной тайны администрации (аппарата) высшего должностного лица субъекта РФ (председателя Правительства субъекта РФ) и (или) один из органов исполнительной власти субъекта РФ, определяемого высшим должностным лицом субъекта РФ (председателем Правительства субъекта РФ).
Подразделения по технической защите информации и подразделения по защите государственной тайны в пределах своей компетенции наделяются полномочиями по координации деятельности региональных органов исполнительной власти и органов местного самоуправления, а также контролю выполнения мероприятий по защите информации в региональных органах исполнительной власти и подведомственных им организациях.
Указанные подразделения являются головными в субъекте РФ по направлениям своей деятельности.
Основные направления деятельности головных подразделений по ТЗИ
- Техническая защита информации, составляющей государственную тайну.
- Техническая защита информации ограниченного доступа, не отнесенной к государственной тайне.
- Обеспечение безопасности общедоступной информации.
- Обеспечение безопасности информации в ключевых системах информационной инфраструктуры.
Основные направления координации деятельности ОГВ и ОМСУ по защите информации
- Методическое руководство деятельностью подразделений по защите информации ОГВ субъекта РФ. Методическая помощь ОМСУ в организации работ по защите информации.
- Участие в разработке и внедрении мер по безопасности информации, обрабатываемой техническими средствами, в целях предотвращения утечки информации и воздействия на неё в ОГВ субъекта РФ и ОМСУ.
- Оказание методической помощи ОГВ субъекта РФ и ОМСУ по выполнении требований нормативных правовых актов и методических документов по защите информации.
- Формирование перечней государственных, муниципальных и иных информационных систем, подлежащих защите. Проведение работ по выявлению актуальных угроз безопасности информации. Участие в разработке ТЗ на создание (модернизацию) информационных систем. Представление в ФСТЭК России для проведения экспертизы тактико-технических заданий и технических проектов на создание (модернизацию) КСИИ.
- Организация и проведение оценки эффективности проводимых мероприятий по защите информации, расследование причин и условий появления нарушений установленных требований по защите информации.
- Проведение семинаров, конференций, форумов, сборов, занятий по вопросам защиты информации, взаимодействие с учебными заведениями, осуществляющими подготовку, переподготовку и повышение квалификации специалистов в области ТЗИ.
Основные задачи контроля ТЗИ:
- Выявление каналов утечки информации об объектах защиты, каналов несанкционированного доступа к информации и специальных воздействий на информацию, анализ и инструментальная оценка возможностей технических разведок по получению информации.
- Оценка эффективности проводимых мер по ТЗИ.
- Выявление нарушений установленных норм и требований.
- Анализ причин нарушений и недостатков в организации и обеспечении ТЗИ на объектах контроля, выработка рекомендаций по их устранению.
- Оказание методической помощи.
Основными задачами государственной системы защиты информации, согласно пункту 10 Положения о ГСЗИ являются:
- Организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности.
- Принятие в пределах компетенции правовых актов, регулирующих отношени в области защиты информации.
- Исключение или существенное затруднение добывания информации ТСР, а также предотвращение ее утечки по техническим каналам, НСД к ней, предупреждение преднамеренных программно-технических возможностей с целью разрушения (уничтожения) или искажения информации.
- Анализ состояния и прогнозирования возможностей технических средств разведки и способов их применения.
- Создание средств защиты информации и контроля над ее эффективностью.
- Контроль состояния защиты информации в органах государственной власти и на предприятиях.
Межведомственная комиссия по защите государственной тайны
Деятельность Межведомственная комиссия регулируется Указом Президента Российской Федерации от 16 июля 2012 г. № 1008 «Вопросы Межведомственной комиссии по защите государственной тайны».
Это коллегиальный орган, основной функций которого является координация деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных правовых актов и методических документов, обеспечивающих реализацию федерального законодательства о государственной тайне. Руководство деятельностью Межведомственной комиссии осуществляет Президент Российской Федерации.
Федеральная служба по техническому и экспортному контролю (ФСТЭК России)
ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля («Вопросы Федеральной службы по техническому и экспортному контролю» - Указ Президента Российской Федерации от 16 августа 2004 г. № 1085).
Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.
ФСТЭК России осуществляет реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
- Обеспечения безопасности информации в ключевых системах информационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере.
- Противодействия иностранным техническим разведкам на территории Российской Федерации
- Обеспечения технической защиты информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом.
- Осуществления экспортного контроля.
Руководство деятельностью федеральной службы по техническому и экспортному контролю осуществляет Президент Российской Федерации.
Управление ФСТЭК России по федеральному округу осуществляет взаимодействие с аппаратом полномочного представителя Президента РФ в федеральном округе, территориальными органами федеральных органов исполнительной власти, аппаратами органов государственной власти субъекта РФ, органом исполнительной власти субъекта РФ, органами местного самоуправления, организациями, предприятиями.
ФСТЭК России осуществляет контроль:
- в аппаратах федеральных органов государственной власти;
- органов государственной власти субъектов Российской Федерации;
- федеральных органах исполнительной власти;
- органах исполнительной власти субъектов Российской Федерации;
- органах местного самоуправления;
- на предприятиях, в учреждениях и организациях.
Основные направления контроля:
- Контроль обеспечения безопасности информации в ключевых системах информационной инфраструктуры;
- Контроль состояния противодействия иностранным техническим разведкам;
- Контроль состояния технической защиты информации ограниченного доступа;
- Экспортный контроль.
Органы государственного управления (министерства, ведомства) в пределах своей компетенции:
- Определяют перечни охраняемых сведений.
- Обеспечивают разработку и осуществление мер по защите информации на подведомственных организациях.
- Организуют и координируют проведение НИОКР в области защиты информации.
- Разрабатывают по согласованию с ФСТЭК России отраслевые документы по защите информации.
- Создают отраслевые центры по защите информации и контролю эффективности принимаемых мер.
- Организуют подготовку, профессиональную переподготовку и повышение квалификации специалистов по защите информации.
- Контролируют выполнение требований по защите информации в подведомственных организациях.
Головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские организации по защите информации в пределах своей специализации:
- Разрабатывают научные основы и концепции защиты, проекты федеральных программ, нормативно-технических и методических документов по защите информации.
- Обобщают и анализируют информацию о силах и средствах технической разведки, прогнозируют её возможности.
- Осуществляют разработку (корректировку) модели иностранной технической разведки и методик оценки её возможностей.
- Проводят научные исследования и работы по созданию технических средств защиты информации и контроля над её эффективностью.
Образовательные организации
Образовательные организации высшего образования, среднего профессионального образования и дополнительного профессионального образования осуществляют:
- Подготовку специалистов с высшим и средним профессиональным образованием по направлениям подготовки и специальностям укрупненной группы 10.00.00 «Информационная безопасность».
- Профессиональную переподготовку и повышение квалификации специалистов в области защиты информации.
Подготовка кадров для государственной системы защиты информации осуществляется при методическом руководстве ФСТЭК России.
В Федеральном законе от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации» и Федеральный закон от 2 марта 2007 г. № 25-ФЗ «О муниципальной службе в Российской Федерации» определены квалификационные требования к должностям гражданской и муниципальной службы:
- к уровню профессионального образования;
- к стажу (опыту) работы по специальности;
- к профессиональным знаниям и навыкам, необходимым для исполнения должностных обязанностей.
Конкретизируют эти требования единый квалификационный справочник должностей руководителей, специалистов и служащих, раздел «Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации», утвержденный приказом Министерства здравоохранения и социального развития Российской Федерации от 22 апреля 2009 г. № 205 и профессиональные стандарты, реестр которых находится на сайте Министерства труда и социальной защиты Российской Федерации.
Переход на профессиональные стандарты осуществляется поэтапно на основе утвержденных планов. Реализацию мероприятий планируется завершить не позднее 1 января 2020 г. (Постановление Правительства Российской Федерации от 27 июня 2016 г. № 584 «Об особенностях применения профессиональных стандартов…»).
Перечень специальностей среднего профессионального образования в области информационной безопасности:
Среднее профессиональное образование
10.02.01 «Организация и технология защиты информации»;
10.02.02 «Информационная безопасность телекоммуникационных систем»;
10.02.03 «Информационная безопасность автоматизированных систем»
Высшее образование
Бакалавриат:
10.03.01 «Информационная безопасность»;
Магистратура:
10.04.01 «Информационная безопасность»;
Специалитет:
10.05.01 «Компьютерная безопасность»;
10.05.02 «Информационная безопасность телекоммуникационных систем»;
10.05.03 «Информационная безопасность автоматизированных систем»;
10.05.04 «Информационно-аналитические системы безопасности»;
10.05.04 «Безопасность информационных технологий в правоохранительной сфере»;
10.05.06 «Криптография»;
10.05.07 «Противодействие техническим разведкам»;
Подготовка кадров высшей квалификации по программам подготовки научно-педагогических кадров в аспирантуре:
10.06.01 «Информационная безопасность».
Дополнительное профессиональное образование
Повышение квалификации:
- для государственных и муниципальных служащих проводится 1 раз в 3 года;
- для организаций проводится по мере необходимости с периодичностью, позволяющей специалистам в условиях нарастания количества угроз безопасности информации, а также с учетом необходимости постоянного совершенствования методов и средств их нейтрализации получать новые знания, умения и навыки, необходимые для профессиональной деятельности.
Объем времени, отводимый на повышение квалификации – от 40 часов. По окончанию обучения слушателям выдаются документы государственного образца - удостоверение или свидетельство о повышении квалификации.
Профессиональная переподготовка
- проводится по мере необходимости (выполнение нового вида профессиональной деятельности или получение дополнительной квалификации);
- направление определяется заказчиком
Объем времени, отводимый на профессиональную переподготовку: на получение права вести деятельность в определенной сфере – свыше 500 часов; (свыше 360 часов). По окончанию обучения слушателям выдаются диплом о профессиональной переподготовке или диплом о присвоении квалификации.
Защита информации в органах государственной власти проводится на основании ст. 4 положения о ГСЗИ путем выполнения комплекса мероприятий по:
- Предотвращения утечки защищаемой информации от утечки по техническим каналам.
- Предотвращение несанкционированного доступа к защищаемой информации.
- Предупреждение преднамеренных программно-технических воздействий на защищаемую информацию.
Главные направления работ по защите информации определены ст. 6 положения о ГСЗИ:
- Обеспечение эффективного управления системой защитой информации.
- Определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения.
- Анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информация путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите.
- Разработка организационно-технических мероприятий по защите информации и их реализация.
- Организация и проведение контроля состояния защиты информации.
Основные организационно-технические мероприятия по защите информации согласно ст. 7 положения о ГСЗИ:
- Лицензирование деятельности предприятий в области защиты информациию.
- Аттестация объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности.
- Сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам.
- Категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонной, экономической, политической, научно-технической и других сферах деятельности государства.
- Обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений.
- Оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории Российской Федерации.
- Введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите.
- Создание и применение информационных и автоматизированных систем управления в защищенном исполнении.
- Разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации ВВТ, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи.
- Разработка средств защиты и контроля за ее эффективностью (специального и общего применения) и их использование.
- Применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передающейся по каналам связи.
Проведение любых мероприятий и работ с использованием сведений, отнесенных к государственной или служебной тайне , без принятия необходимых мер по защите информации не допускается.
Лицензирование деятельности в области защиты информации
Положение о ГСЗИ, п.18: Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия, имеющие лицензии на право проведения работ в области защиты информации.
пункт 19: Предприятия, имеющие намерения заниматься деятельностью в области защиты информации, должны получить соответствующую лицензию на определенный вид этой деятельности. Лицензии выдаются Государственной технической комиссией при Президенте Российской Федерации и Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии со своей компетенцией по представлению органа государственной власти.
Лицензирования деятельности в области защиты государственной тайны
Регулируется законом Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне», распространяется на деятельность, связанной с защитой государственной тайны.
Порядок получения лицензии определен Положением о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, утвержденном постановлением Правительства Российской Федерации от 15 апреля 1995 г. № 333.
Федеральные органы исполнительной власти, уполномоченные на ведение лицензионной деятельности:
- ФСТЭК России;
- ФСБ России;
- СВР России;
- Минобороны России.
Лицензирования деятельности в области защиты конфиденциальной информации
Регулируется Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности», распространяется на деятельность по технической защите конфиденциальной информации. Порядок получения лицензии определен Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденном постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79. Федеральные органы исполнительной власти, уполномоченные на ведение лицензионной деятельности - ФСТЭК России и ФСБ России.
Аттестация объектов информатизации по требованиям безопасности информации
Согласно пункта 27 положения о ГСЗИ для оценки готовности систем и средств информатизации и связи к обработке (передаче) информации, содержащей сведения, отнесенные к государственной или служебной тайне, проводится аттестование указанных систем и средств в реальных условиях эксплуатации на предмет соответствия применяемых методов, мер и средств защиты требуемому уровню безопасности информации.
Сертификации средств защиты информации
Сертификации средств защиты информации регулируется:
- Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам связи.
- Указом Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».
- Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
- Положение о сертификации средств защиты информации Утверждено постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608.
Информация, содержащая сведения, отнесенные к государственной или служебной тайне, должна обрабатываться с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств защиты, сертифицированных в установленном порядке.
Соответствие технического средства и его программного обеспечения требованиям защищенности подтверждаются сертификатом , выданным предприятием, имеющим лицензию на этот вид деятельности, по результатам сертификационных испытаний или предписанием на эксплуатацию, оформляемым по результатам исследований и специальных проверок технических средств и программного обеспечения.
При необходимости подключения информационных систем, информационно - телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю …..
Защита информации в системах и средствах информатизации и связи
Защите подлежит речевая информация, а также информация, обрабатываемая техническими средствами, а именно:
- Информационные ресурсы, содержащие сведения, отнесенные к государственной или служебной тайне, представленные в виде носителей на магнитной и оптической основе, информативных физических полей, информационных массивов и баз данных.
- Средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации, содержащей сведения, отнесенные к государственной или служебной тайне (ОТСС).
- Технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения, отнесенные к государственной или служебной тайне, а также сами помещения, предназначенные для ведения секретных переговоров (ВТСС, ВП (ЗП).
Защита информации осуществляется путем:
- Предотвращения перехвата техническими средствами информации, передаваемой по каналам связи. Достигается применение криптографических и иных методов и средств защиты, а также проведением организационно-технических и режимных мероприятий.
- Предотвращения утечки обрабатываемой информации за счет ПЭМИН создаваемых функционирующими техническими средствами, а также электроакустических преобразований. Достигается применением защищенных технических средств, аппаратных средств зашиты, средств активного противодействия, экранированием зданий или отдельных помещений, установлением контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами.
- Исключения несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации. Достигается применением специальных программно-технических средств защиты, использованием криптографических способов зашиты, а также организационными и режимными мероприятиями.
- Предотвращения специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации. Достигается применением специальных программных и аппаратных средств защиты (антивирусные процессоры, антивирусные программы), организацией системы контроля безопасности программного обеспечения.
- Выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств). Достигается проведением специальных проверок.
- Предотвращения перехвата техническими средствами речевой информации из помещений и объектов. Достигается применением специальных средств защиты, проектными решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных устройств подслушивания и другими организационными и режимными мероприятиями.
Финансирование мероприятий по защите информации
Финансирование мероприятий по защите информации определяется в соответствии со статьей 55 Положения о ГСЗИ. Согласно ей финансирование мероприятий по защите информации, содержащей сведения, отнесенные к государственной или служебной тайне, а также подразделений по защите информации в органах государственной власти и на бюджетных предприятиях предусматривается в сметах расходов на их содержание.
2. Порядок обеспечения нормативными правовыми актами и методическими документами ФСТЭК России
Обеспечение нормативными методическими документами (НМД) осуществляет ФСТЭК России на основании заявки. Заявка на обеспечение НМД содержит:
- юридический адрес;
- адрес для открытой и закрытой переписки;
- возможность получения документов через органы Государственной фельдъегерской службы или через Управление специальной связи, в зависимости от того, с кем заключен договор о предоставлении услуг, адрес данного территориального органа;
- банковские реквизиты, ИНН, КПП;
- наименование документов и количество экземпляров с обоснованием их потребности;
- должность, ФИО руководителя организации;
- ФИО, телефон, факс контактного лица.
К заявке прикладывается:
- копия лицензии на право проведения работ, связанных с использованием сведений, составляющих государственную тайну, выданную ФСБ России или ее территориальным органом;
- копия лицензии на право проведения работ, связанных с использованием сведений, составляющих государственную тайну, выданную ФСБ России или ее территориальным органом;
- копия лицензии ФСТЭК России по противодействию иностранным техническим разведкам (в случае приобретения НМД по ПД ИТР).
Если организация – заявитель пользуется услугами режимно-секретного подразделения другой организации, то дополнительно представляются копии лицензий на право проведения работ, с использованием сведений, составляющих государственную тайну, и на право осуществления мероприятий и (или) оказание услуг в области защиты государственной тайны, выданные этой организации ФСБ России или ее территориальным органом.
Обеспечение государственными стандартами в области ГСЗИ осуществляет ФГУП «Стандартинформ».