Лекция 1. Организация обеспечения информационной безопасности.

Шевцова Галина Александровна.

Темы:

1) Общегосударственная проблематика.

Засекречивание и рассекречивание информации.

2) Лицензирование деятельности.

3) Проблематика доступа и допуска к пропускной системе.

4) Разрешительная система доступа.

5) Служебное расследование.

Организация работы по определению состава, засекречиванию и рассекречиванию конфиденциальной информации.

Межведомственная комиссия по защите гос. тайны.

Постановление правительства РФ от 4 сентября 1995 №870 правила отнесения сведений, составляющих к гос. тайне.

Предприятие => орган управления гос власти.

1 этап.

1. Предприятие разрабатывает перечень засекреченных сведений для передачи в орган управления.

2. Обосновать необходимость отнесения сведений к * тайне.

3. Направить перечень руководителям исполнительной власти.

2 Этап.

1. Уровень руководителя органа.

2. Распоряжение правительства РФ от 16 апреля 2005 №151. Наделение полномочий отнесения информации к * тайне.

3. Рассмотрение и экспертная оценка перечня засекреченных сведений и включение их в общий перечень. Вынесение решения об отнесении сведений к * тайне.

4. Создается развернутый перечень сведений, составляющих гос тайну, и ему присваивается гриф секретно.

Межведомственная комиссия:

1. Формирование перечня сведений.

2. Анализ и экспертиза.

3. Согласование распределения между ведомствами полномочий по распоряжению от лица государства сведений, отнесенных к гос тайне

4. Подготовка перечня для утверждения

Межведомственная комиссия была образована указом президента от 8 ноября 1995г №1108.

Рассекречивание сведений и их носителей

Определение: снятие ранее введенных ограничений на распространение сведений и на доступ к ним.

Основания:

1. РФ берет на себя международные обязательства по открытому обмену сведений, составляющих в РФ гос тайну.

2. Изменение объективных обстоятельств, вследствие которых защита гос тайны нецелесообразна.

Положение о порядке рассекречивания и продления засекречивания архивных документов от 20 февраля 1995г №170.

Государственное регулирование в сфере защиты информации.

Лицензирование деятельности в сфере * тайны.

Закон РФ 19 февраля 1993г о федеральных органах правит связи и информации №4524-1.

Закон о государственной тайне.

20 статья определила государственные органы, являющиеся ответственными за защиту такой информации.

28 статья – обязательная сертификация тех средств для защиты секретных сведений. Государственные органы, ответственные за проведение сертификации.

Органы:

1. ФСТЕК

2. ФСБ

3. ФАПСИ

4. Мин. Обороны.

Система сертификации средств криптографической защиты информации.

Положение о государственном лицензировании в области защиты информации 27апр 1994.

Полномочия по сертификации переданы ФСБ.

11 апреля 2000г постановление правительства РФ о лицензировании отдельных видов деятельности.

8 августа 2001г закон №1280-фз - постановление правительства РФ о лицензировании отдельных видов деятельности.

Постановление правительства 2003г №691 – нормативные документы по отдельным видам деятельности

Положения:

О лиц деятельности по распространению шифровальных (крипт) средств.

Положение по техническому обслуживания шифровальных (крипт) средств.

Положение о лиц предоставления услуг по шифрованию.

Положение о лиц, разработки, производства шифровальных (крипт) средств, защищенных с помощью с сип шифровальных (крипт) средств информационных и телекоммуникационных систем.

1995г приняты:

Постановление №333 от 15 апреля 1995г о лиц деятельности предприятий, учреждений, организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны

Постановление №608 от 26 июня 1995г о сертификации средств защиты информации.

Требования к средствам контроля эффективности защиты информации.

2 апреля 2002 создан специальный комитет по стандартизации защиты информации.

Лицензия – разрешение или право на осуществление лицензируемого вида деятельности при обязательном соблюдении лицензионных требований и уст, выданные лиц органом юр лицу или индивидуальному предпринимателю.

Перечень видов деятельности определен в законе №128 ФЗ:

Деятельность по распространению шифровальных криптографических средств.

Деятельность по обслуживанию шифровальных криптографических средств.

Предоставление услуг в области шифрования.

Производство шифровальных …

Деятельность по выдаче сертификатов ключей эцп, регистрации владельцев эцп, оказание услуг, связанных с использованием эцп.

Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и тех средствах, за исключением случая, если это деятельность для собственных нужд.

Деятельность по разработке и (или) производству средств защиты конфиденциальной информации. (ФСТЕК).

Деятельность по тех защите конфиденциальной информации. (ФСТЕК).

Разработка, производство реализация приобретение в целях продажи специальных тех средств, предназначена для негласного получения информации, как индивидуальными предпринимателями, так и юридическими лицами.

Перечень федеральных органов, осуществляющих лицензирование:

1) ФСБ 2) ФСТЕК

В ФСБ - центр по лицензированию, сертификации и защите гос тайны

Ключевые элементы процедуры лицензирования:

Специальная экспертиза предприятия – комплексная проверка действующей на объекте системы защиты гос. тайны.

Государственная аттестация руководителей, ответственных за защиту сведений, составляющих гос. тайну.

Направления:

1. Режим секретности.

2. Противодействие иностранным разведкам

3. Защита информации от утечки по тех каналам

Цель проверки – оценка готовности выполнения предприятии требований законодательных и нормативных актов РФ по обеспечении зи.

Комиссия обращает внимание на:

1. Разграничение доступа к информации.

2. Выявление и уничтожение каналов утечки.

3. Криптографическая защита информации.

4. Антивирусная защита.

5. Обеспечение целостности при попытках целенаправленного уничтожения и искажения информации.

Требования комиссии:

1. Наличие в структуре 1 отдела и необходимое число специальных сотрудников по защите информации.

2. Наличие средств зи, имеющих сертификат.

3. Наличие у аттестуемого допуска.

Положение по лицензированию деятельности по тех защите конфиденциальной информации утверждено постановлением правительства РФ от 30 апреля 2002г №90.

Лекция 2.

Государственное регулирование в сфере защиты информации.

Закон РФ 19 февраля 1993 "О федеральных органах правительственной связи и информации" за номером 4524-1 (ныне не действует).

Сентябрь 1993 года "закон о государственной тайне". Статья 20 этого закона определила органы, которые являются ответственными за гос тайну.

В статье 28 установлена обязанность сертификации технически средств, предназначенных для зашиты секретной инфы. Так же в этой статье определены органы ответственные за сертификацию.

Эти органы:

1. ФСТЭК.

2. ФСБ.

3. Министерство обороны.

Ноябрь 1993 "Система сертификации средств криптографической защиты информации".

Положение 27 апреля 1994 "О государственном лицензировании деятельности в области защиты информации". В этом положении были разграничены

сферы компетенции ФСТэКА и ФАПСИ. Существовало до упразднения ФАПСИ (1 июля 2003).

Полномочия в области сертификации средств защиты информации, которые были в области компетенции ФАПСИ были переданы ФСБ РФ.

11 апреля 2000 года было принято постановление правительства РФ "О лицензированни отдельных видов деятельности".

8 августа 2001 года возникает федеральный закон № 128-ФЗ "О лицензированни отдельных видов деятельности". За этим законом в 2003 году

появляются нормативные документы:

1. Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств.

2. Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств.

3. Положение о лицензировании предоставления услуг в области шифрования информации.

4. Положение о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием

информационных и коммуникационных систем. ???

1995 год было принято постановление №333 от 15 апреля "О лицензировании деятельности предприятий учреждений организации по проведению

работ связанных с использованием сведений составляющих государственную тайну, созданием средств защиты информации, а так же

осуществление мероприятий и (или) оказания услуг по защите гос тайны". Документ действует сейчас. Постановление от 26 июля №608

"О сертификации средств защиты информации" + требования к средствам контроля эффективности защиты информации.

Условия допуска для работы с гос тайной.

1. Обязательным условием для допуска работы с гос тайной - проведение специальной комиссии (экспертизы предприятия).

2. Проведение обязательной аттестации руководителя предприятия.

Приказом 2 апреля 2002 года был создан специальный комитет по стандартизации технических средств защиты информации.

Лицензия - разрешение или право на осуществление лицензированного вида деятелности при обязательном соблюдений лицензионных требований и

условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Перечень видов деятельности требующие лицензии определен в законе 128-ФЗ и в статье 17 этого закона. В частности под этот закон попадают:

1. Деятельность по распространению шифровальных (криптографических) средств.

2. Техническое обслуживание средств шифрования.

3. Предоставление услуг в области шифрование.

4. Разработка и производство средств шифрования.

5. Деятельность по выдачи сертификатов, ключей, электронно-цифровых подписей (эцп), регистрация владельцев эцп и тд с эцп.

6. Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических

средствах. Исключение, если для собственных нужд.

7. Деятельность по разработке или производству средств защиты конфиденциальной информации. ФСТЭК

8. Деятельность по технической защите конфиденциальной информации. ФСТЭК

9. Деятельность по разработке, производству, реализации, приобредетения в целях продажи специальных технических средств,

предназначенных для негласного получения информации, как индивидуальными предпринимателями так и юридическими лицами.

Для государственной тайны существует "Закон о государственной тайне" и постановление № 333. Они оба полностью регулируют гос тайну.

На сегодняшний день 2 органа дающих лицензию ФСБ и ФСТЭК.

В ФСБ РФ созданы центры аттестации и лицензирования. Ключевые элементы процедуры лицензирования:

1. Специальная экспертиза предприятия. Комплексная оценка действующей на объекте системы защиты информации.

2. Государственная аттестация руководителей.

Направления экспертизы предприятий:

1. Режим секретности. Как он организован. Как обеспечивается режим секретности.

2. Противодействие иностранным техническим разведкам.

3. Защита информации от утечки по техническим каналам.

Цель такой проверки - оценка готовности выполнения предприятиями требований законодательных и нормативно методических актов РФ по

обеспечению защиты информации, государственной тайны. Рассматривается предприятие в комплексе. Обращают внимание на:

1. Разграничение доступа к информации.

2. Выявление и нейтрализация каналов утечки, включая контроль на наличие программных закладок в технических и программных средствах.

3. Рассматривается криптографическая защита при хранении и передачи по каналам связи.

4. Рассматривается антивирусная защита, обеспечивающая как выявление так и устранение вредоносных программ.

5. Обеспечение целостности при попытках целенаправленного уничтожения и искажения информации, программных средств, в особенности

средств защиты.

6. Наличие в структуре предприятия подразделения по защите гос тайны и необходимое число квалифицированных сотрудников.

7. Наличие на предприятии средств защиты информации с сертификатами, подтверждающими их соответствие степени секретности.

8. Наличие у аттестуемого оформленного допуска по соответствующей степени секретности для работы с гос тайной. Руководитель подтверждает знания и навыки организации информационной безопасности на объекте информатизации. Главное чтобы руководитель соответствовал.

Положение "О лицензировании деятельности по технической защите конфиденциальной информации" утверждено постановлением правительством РФ

от 30 апреля 2002 за номером 290.

(Дома составить документ по требованиям для коммерческой тайны. Сдать через 2 недели от 18 февраля)

Лекция 3.

Допуск и доступ к сведениям, составляющие государственную тайну.

Допуск к государственной тайне - это процедура оформления права граждан на доступ к сведениям составляющим гос тайну, а предприятий, учреждений

и организации на проведение работ с использований таких сведений.

Доступ - санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющие гос тайну.

Инструкция о режиме секретности №066 - для государственных предприятий, все что касалось гос тайны.

Инструкция о режиме секретности №0126 1987 год.

Инструкция №1-3 в 2000 год.

Постановление правительства 28 октября 1995 года за номером 10-50 "Инструкция о порядке допуска должностных лиц и граждан РФ к гос тайне".

6 февраля 2010 года правительством РФ утверждается постановление за номером 63, которое утвердило новую инструкцию "Инструкция о порядке

допуска должностных лиц и граждан РФ к гос тайне". Отменяются все вышеназванные инструкции. Вводится эта инструкция с 1 мая 2010 года.

Появились новые понятия, такие как "постоянное место жительство".

Номер допуска к гос тайне - номер отметки о проведении проверочных мероприятий, проставляемый органами безопасности (ФСБ), а при оформлении

допуска к гос таqне без проведений мероприятий - номер удостоверения или учетный номер карточки.

21 статья закона о государственной тайне. Допуск осуществляется исключительно в добровольном порядке.

1. Лицо принимает на себя обязательство по нераспространению сведений о государственной тайне.

2. Лицо добровольно соглашается на временные частичные ограничения своих прав, а именно:

1. Право выезда за границу.

2. Ограничение на использование и распространение изобретений, содержащих гос тайну.

3. Ограничение на право неприкосновенности частной жизни лица, при проведении проверочных мероприятий.

3. Письменное согласие проверяемого лица, на согласие проведения проверочных мероприятий.

4. Существуют виды определенных льгот.

5. Должно быть осуществлено ознакомление с нормами закона, в частности, ответственность за нарушение.

6. Лицо должно знать, что решение о допуске к гос тайне будет принято его руководителем.

Члены совета федерации, депутаты гос думы, адвокаты, судьи - лица с которых достаточно брать расписку о неразглашении гос тайны.

Причины отказа в допуске к гос тайне, те же самые что и в лекции 2 по правовому обеспечению ИБ:

1. Лицо находится под судом и следствием и с него не снята судимость за тяжкие государственные преступления.

2. Наличие медицинских противопоказаний.

3. ПМЖ за границей лица или его близких родственников.

4. Выявление в результате проведения проверочных мероприятий, действий, создающих угрозу безопасности РФ.

5. Уклонение гражданина от проверочных мероприятий или сообщение заведомо ложной информации.

Решения о допуске к гос тайне принимаются в отношении руководителей государственных органов и государственных организации. Эти решения принимают

те лица, кто их назначил на данную должность.

В отношении руководителей не государственных организаций - руководителем заказчика работ с использованием средств составляющих гос тайну.

В отношении граждан, находящихся в запасе или подлежащих призыву, решения принимает военный комиссариат.

Допуск к гос тайне может быть прекращен по решению должностного лица в случае:

1. Организационные либо штатные изменения.

2. Если было однократное нарушение обязательств связанных с защитой гос тайны.

3. Если возникли причины для отказа в допуске, перечисленные выше.

Составляется документ "Номенклатура должностей" - перечень всех должностей, которые попадают под оформление на допуск к гос тайне, отдельно по каждому виду секретности. Только для гос тайны. Это унифицированный документ, форма номер 3. Такой документ разрабатывается по предприятию в целом. Заносятся наименование каждого подразделения и должности. Составляется сопроводительное письмо, объясняющий причину составления документа.

Указывается номер лицензии, кем выдана лицензия (в данном случае ФСБ). Если предприятие уже когда то оформляло такой документ, а он оформляется

не реже чем раз в 5 лет, то процедура составления этого документа такая же как и в первый раз. Документ подлежит согласованию с ФСБ. Минимум 2

экземпляра и отправляется в ФСБ на согласование.

ДОМА составить сопроводительное письмо для отправки на согласование "Номенклатуры должностей" научно-производственного предприятия "комета".

Номенклатура должностей составляется повторно. 25 февраля 2005 года была составлена 1 номенклатура, имела номер 6/1505. Особенности за период:

1. Первая номенклатура должностей имела 250 должностей с допуском СС и 150 с допуском С.

2. Сейчас у нас появляется 5 должностей с допуском ОВ. Причина: увеличины объемы гос заказов.

Лекция 4. 4 марта 2010

Форма допусков и их классификация.

Форма допуска – это показатель к какой степени секретности допущен тот или иной работник. Основное назначение – обеспечить допуск конкретного работника к тем сведениям, которые необходимы ему для выполнения его функционально-служебных обязанностей, предусмотренных номенклатурой должностей данного предприятия. Так же форма допуска служит документом, по которому определяются пределы, то есть степень доступа работника во время его служебной командировки.

Порядок оформления допуска к государственной тайне.

Существует 2 вида оформления допусков:

1. Допуск обязательно согласовывается с органами безопасности (ФСБ). Касательно 1 и 2 формы допуска.

2. Без согласования, для 3 формы.

Две структуры, участвующие в оформлении допуска на предприятии:

1. Отдел кадров.

2. Режимно-секретно подразделение.

Отдел кадров.

Заполнение унифицированной формы №4 – первый шаг для оформления допуска на предприятии. Проверяются данные трудоустраивающегося человека. Отдел кадров ознакамливает человека с нормативными документами, с последствиями разглашения государственной тайны, помогают верно заполнить документы.

Режимно-секретное подразделение.

Ищут причины не допустить до государственной тайны, причины для отказа. Оформляют карточку, хранят.

Особенности оформления 1 и 2 формы доступа:

1. Предоставляется анкета, форма №4.

2. Форма №4 в электронном виде.

3. Карточка, форма №1, которая является собственно допуском.

4. Регистрируется допуск в регистрационном журнале, форме №9.

5. После регистрации допуск становится секретным. Отдельный журнал для 1,2 форм и отдельный для 3 формы.

6. Учетная карточка на допуск. Форма №10.

7. Списки на оформляемого гражданина и его родственников. Форма №11.

8. Сопроводительное письмо, с обоснованием необходимости получения допуска.

Если все хорошо, возвращается карточка, форма №1. Руководитель утверждает допуск.

Если карточка не вернулась, нам не сообщают причин отказа, поэтому мы должны напротив позиции записать «Оформление прекращено». При этом порядок не изменяется, просто продолжается.

Судьям на период исполнения ими своих полномочий, РСП (режимно-секретное подразделение) оформляется допуск, форма №10, но в позиции 7 делается запись, в соответствии со статье 21 «О государственной тайне», проверочные мероприятия не проводились. Эта запись удостоверяется руководителем РСП и ставится печать организации. Дополнительно уведомляется ФСБ, что судье оформлен допуск к гос тайне по данной тематике.

Для адвокатов сама карточка, форма №1, не составляется совсем. Руководитель пишет что допустить такого то к гос тайне, подписывает и ставится печать. Адвокат дает расписку о неразглашении. В свою очередь РСП отправляет карточку уведомления, форму №10, на обороте которой указывается факт оформления такого допуска, указывается должностное лицо, которое приняло это решение, и указан номер дела, к которому адвокат получил доступ.

Для военно-обязанного допуск оформляется через военку.

Если в течении 6 месяцев по истечении проверочных мероприятий, руководитель не принял решения, не сделал отметку, то в этом случае отметка, которая была сделана со стороны ФСБ является не действительной.

Порядок оформления допуска по 3 форме (без согласования).

Решение о допуске принимает руководитель предприятия совместно с РСП. Так же приходишь в отдел кадров, так же заполняешь карточку, так же РСП заполняет форму №1, но в общем то больше никаких документов больше не заполняется. В графе у допуска указывается руководитель, давший допуск, его должность, дата. При переходе эта карточка никуда не отправляется, а составляется новая на новом месте и уничтожается по истечении одного года после увольнения лица из организации.

На них заводится отдельный журнал по форме № 9 и там указываются регистрационные данные только карточек оформленных по 3 форме.

Лекция 5.

Изменение или прекращение действия допусков к ГТ.

Переоформление допуска:

1. По срокам действия. Подобный факт может происходить только, если гражданин переходит на другое место работы. В этом случае переоформление 1 формы допуска происходит через 10 лет, если 2 форма – через 15 лет.

2. Не зависимо от сроков действия: если принимается на работу гражданин в РСП. Если гражданин вступил в брак (за исключением если пара имеет тоже допуск с проведением проверочных мероприятий).

В месячный срок в ФСБ отправляется карточка, где указываются данные о человеке и эти данные вносятся в форму 10.

3. Если гражданин был в длительной (более 6 месяцев) заграничной командировке.

4. Если возникли медицинские противопоказания, или родственники или он сам ходатайствуют уехать на ПМЖ за границу.

5. Если лица относились к категории лиц, которым не оформлялся допуск (судьи, адвокаты, члены федерального собрания и т.д.).

6. Если лица были военнослужащими и прибывают в запасе и, если после доступа прошло более 6 месяцев.

7. Если при пересылке карточки с одного места работы на другое, будет отметка о нарушении режима секретности.

Тут отправляется полный пакет документов, оформление идет полностью заново.

Снижение формы допуска. Восстановление и аннулирование.

Могут проводиться во всех случаях, когда установлено несоответствие формы допуска и степени секретности сведений.

Решение о снижении принимает руководитель.

Если уровень допуска был снижен недавно, то руководитель может восстановить уровень без проведения проверочных мероприятий.

Аннулирование, если в течение года лицо не соприкасалось с документами с грифами.

Порядок доступа к сведениям составляющих ГТ граждан при их командировании в другие организации.

Доки выдаются со стороны структуры отправляющей в командировку:

1. Документ, удостоверяющий личность.

2. Предписание на выполнение задания, форма №5.

3. Справка о допуске по соответствующей форме (№ 6(i) 7(ii) 8(iii))

У проверяющих режим лиц должны быть:

1. Удостоверяющий документ.

2. Справка о допуске 6 7 или 8 формы.

А – первая форма, Б – вторая форма, Д – третья форма.

Предписание на выполнение задания – унифицированная форма №5, подписывается руководителем организации или главным должностным лицом государственного учреждения с печатью.

Если все доки есть у командированного, его регистрируют в «журнале учета командированных лиц» (??). Документы забираются. Заполняется предписание, которое отправляется в РСП, но перед этим командированный человек проверят, все ли правильно заполнено.

Потом, справка о допуске возвращается и гражданин обязан ее сдать в свое РСП. На обороте этой справки делаются записи по поводу степени секретности документов, с которыми лицо ознакомилось. Заверяется подписью руководителем РСП принимающей организации и заверяется печатью организации. В дальнейшем, когда это лицо вернуло справку в свое РСП, эти данные переносятся в «карточку учета осведомленности со сведениями составляющими ГТ».