Дайте определение понятию «система ЗИ». Перечислите структурные уровни государственной системы ЗИ.
Система ЗИ - совокупность органов и/или исполнителей, используемая ими техника ЗИ, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по ЗИ (ГОСТ Р 50922-2006 «Защита информации. Термины и определения»).
Основными органами и исполнителями системы ЗИ в организации являются:
руководитель организации и/или его заместитель, отвечающий за вопросы ЗИ;
постоянно действующая техническая комиссия по защите государственной тайны и экспертная комиссия; подразделение (штатный специалист) по ЗИ.
Основные направления ЗИ
Противодействие иностранным техническим разведкам (ПД ИТР) – деятельность, направленная на исключение или затруднение получения иностранными техническими разведкам разведывательной информации
Техническая защита информации (ТЗИ) – деятельность, направленная на ограничение или исключение возможностей по получению, уничтожению или блокированию защищаемой информации с применением технических средств и осуществляемая организационными, программными и техническими (некриптографическими) мерами ЗИ от ее утечки по техническим каналам, несанкционированного доступа к ней и специальных воздействий на нее.
Деятельность государственной системы защиты информации осуществляется на :
Федеральный уровень Межрегиональный уровень (федеральный округ) Региональный уровень (субъект Российской Федерации) Ведомственный (отраслевой) уровень Объектовый уровень
8. Какие объекты подлежат категорированию по требованиям обеспечения ЗИ. Какие организации относятся к объектам третьей категории.
В соответствии с пунктом 41 Положения о государственной системе ЗИ в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам, утвержденном постановлением Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. № 912-51 (Положения о ГСЗИ) по требованиям обеспечения ЗИ объекты органов управления и промышленные объекты делятся на 3 категории: первая, вторая и третья.
Категорирование эксплуатируемых объектов осуществляется федеральными органами исполнительной власти в отношении объектов подведомственных организаций и объектов организаций, в отношении которых органы власти осуществляют единую государственную политику.
К объектам третьей категории относятся организации, в которых необходимо выполнить комплекс организационных и технических мероприятий по обеспечению ЗИ, циркулирующей в технических средствах (системах и средствах информатизации и связи).
Категорированию подлежат организации, обрабатывающие информацию ограниченного доступа. Существует 3 категории объектов:
1) Объекты на которых обрабатывается информация ограниченного доступа, деятельность которых подлежит легендированию.
2) Помимо объектов информатизации есть секретные материальные образцы (образцы вооружений и т.п.).
3) Объекты, где информация обрабатывается непосредственно на самом объекте.
9. Назовите основные нормативные правовые акты, предусматривающие необходимость наличия в организациях подразделений (специалистов) по ЗИ.
1)«Положение о государственной системе ЗИ в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам»,Утв.Постановлением Совета Министров – Правительства РФ от 15 сентября 1993 г.№ 912-51 (п.14 и 18)
2)Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (п.14).
3)Пр.ФСТЭК России от11.02.2013№17«Об утверждении требований к ЗИ, не составляющей государственную тайну, содержащейся в государственных информационных системах».
10. Каким документом определяется структура и содержание Руководства по ЗИ в организации. Каков порядок разработки, утверждения и согласования документа.
Руководство по ЗИ в организации разрабатывается с учетом положений Типовых требований к содержанию и порядку разработки руководства по ЗИ от иностранных технических разведок и от ее утечки по техническим каналам на объекте, одобренных решением Гостехкомиссии России от 3 октября 1995 г. № 42.
Настоящий документ устанавливает единые типовые требования к содержанию и порядку разработки Руководства по ЗИ от технических разведок и от ее утечки по техническим каналам на строящемся (реконструируемом), действующем (находящимся в эксплуатации) объекте. Под объектом защиты понимается имущественный комплекс: здания, сооружения, помещения и территория, на которой они размещены, а также расположенные в них технические средства и иное имущество, требующее защиты и принадлежащее государственным органам, государственным и коммерческим организациям (в том числе НИИ, КБ, опытный или серийный завод, испытательный центр, полигон, воинская часть и т. п. ) на праве собственности, оперативного управления или хозяйственного ведения.
В соответствии с требованиями Положения о государственной системе ЗИ в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденного постановлением Совета Министров Правительства Российской Федерации от 15 сентября 1993г. N 912-51. Руководство разрабатывается на каждом объекте, на котором предусматривается защита информации от технических разведок и от ее утечки по техническим каналам в ходе его строительства (реконструкции) и эксплуатации.
Руководство определяет содержание и порядок осуществления мероприятий по ЗИ, содержащей сведения, отнесенные в установленном порядке к государственной или служебной тайне, Мероприятия по ЗИ должны быть увязаны с мероприятиями по легендированию объектов и режиму секретности.
При разработке Руководства используются: концепция ЗИ от иностранной технической разведки (ИТР); модель иностранной технической разведки применительно к объекту защиты; нормы противодействия средствам иностранной технической разведки; нормы эффективности ЗИ, обрабатываемой техническими средствами; инструкции по ЗИ об образцах вооружения и военной техники, создаваемых или используемых на объекте; требования по ЗИ о создаваемых образцах В и ВТ и выполняемых работах, подлежащих защите от ИТР; инструкция по проектированию технических мероприятий защиты промышленных объектов от ИТР; проектная документация на строительство (реконструкцию) объекта в части мер ЗИ в ходе его эксплуатации, общий маскировочный замысел ЗИ для объектов первой категории; результаты анализа разведдоступности и аттестования объекта (первая, вторая, третья категории) или его составных частей на соответствие требованиям по ЗИ; методические и другие руководящие документы в области ЗИ. При разработке Руководства данные об осведомленности разведок в отношении конкретного объекта получают в соответствующем министерстве (ведомстве).
Руководство должно состоять из следующих разделов:
общие положения; охраняемые сведения об объекте; демаскирующие признаки объекта и технические каналы утечки информации; оценка возможностей технических разведок и других источников угроз безопасности информации (возможно спецтехника, используемая преступными группировками); организационные и технические мероприятия по ЗИ; оповещение о ведении разведки (раздел включается в состав Руководства при необходимости);
обязанности и права должностных лиц; планирование работ по ЗИ и контролю; контроль состояния ЗИ; аттестование рабочих мест; взаимодействие с другими предприятиями (учреждениями, организациями).
В зависимости от особенностей объекта допускается вводить и другие разделы.
После разработки Руководства производится его согласование с вышестоящей организацией, согласование с территориальным органом ФСБ и утверждение руководителем организации.
11. Каким документом определяются функции и права подразделения (специалиста) по ЗИ в органе власти и организации.
Положением о подразделении по ЗИ или должностной инструкцией (регламентом) специалиста по ИБ. Положение об администраторе ИБ разработано в соответствии со Стратегией обеспечения ИБ на объекте информатизации ФНС России, утвержденной приказом ФНС России от 31.12.2009 ММ-7-6/727@, Концепцией ИБ ФНС России, утвержденной приказом ФНС России от 13.01.2012 №ММВ-7-4/6@, «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», Руководством по организации ИБ на объектах информатизации Федеральной налоговой службы, утвержденным приказом ФНС России от 23.10.2007 № ММ-4-27/29дсп@, Положение об отделе безопасности и иными документами в области ИБ.