Порядок оформления документов, необходимых для получения лицензий в области защиты информации, составляющей государственную тайну.
Постановление Правительства РФ от 26.01.2006 N 45 "Об организации лицензирования отдельных видов деятельности" и Постановление Правительства РФ от 15.04.1995 N 333 "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих гос тайну, созданием средств ЗИ, а также с осуществлением мероприятий и (или) оказанием услуг по защите гос тайны" Органами, уполномоченными на ведение лицензионной деятельности, являются: по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, - ФСБ РФ, Служба внешней разведки РФ (за рубежом); на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны – ФСБ РФ, ФСТЭК, Служба внешней разведки РФ (в пределах их компетенции). Для получения лицензии заявитель представляет в соответствующий орган, уполномоченный на ведение лицензионной деятельности: а)заявление о выдаче лицензии с указанием: наименования и организационно-правовой формы, места нахождения, адресов мест осуществления лицензируемого вида деятельности, номера расчетного счета и наименования банка; вида деятельности, на осуществление которого должна быть выдана лицензия; срока действия лицензии; степени секретности сведений, составляющих гос тайну, подтвержденной органом гос власти или организацией, наделенными полномочиями по распоряжению указанными сведениями; б)копии учредительных документов; в)копию документа, подтверждающего факт внесения записи о юридическом лице в Единый гос реестр юр лиц; г)копии документов, подтверждающих право собственности или иное законное основание на владение и использование имущества, необходимого для осуществления заявленного вида деятельности; д) копию свидетельства о постановке на налоговый учет в налоговом органе; е) документ, подтверждающий уплату государственной пошлины; ж)сведения о наличии допуска к гос тайне у руководителя предприятия, а также сведения о наличии в уставном капитале предприятия доли иностранных физических или юр лиц; з) копию договора об оказании услуг - в случае использования заявителем услуг другой организации. Заявитель несет ответственность за достоверность представляемых им сведений. Все документы, представленные для получения лицензии, регистрируются органом, уполномоченным на ведение лицензионной деятельности. Орган, уполномоченный на ведение лицензионной деятельности, принимает решение о выдаче или об отказе в выдаче лицензии в течение 30 дней со дня получения заявления со всеми необходимыми документами. В случае необходимости проведения дополнительной экспертизы предприятия решение принимается в 15-дневный срок после получения заключения экспертизы, но не позднее чем через 60 дней со дня подачи заявления о выдаче лицензии и необходимых для этого документов. В зависимости от сложности и объема подлежащих специальной экспертизе материалов руководитель органа, уполномоченного на ведение лицензионной деятельности, может продлить срок принятия решения о выдаче или об отказе в выдаче лицензии до 30 дней. Лицензии выдаются на основании результатов специальных экспертиз предприятий и гос аттестации их руководителей, ответственных за защиту сведений, составляющих гос тайну, и при выполнении следующих условий: 1)соблюдение требований законодательных и иных нормативных актов РФ по обеспечению защиты сведений, составляющих гос тайну, в процессе выполнения работ, связанных с использованием указанных сведений; 2)наличие в структуре предприятия подразделения по защите гос тайны и необходимого числа специально подготовленных сотрудников для работы по ЗИ, уровень квалификации которых достаточен для обеспечения защиты гос тайны; 3)наличие на предприятии средств ЗИ, имеющих сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
Билет 13
1. Существующая система менеджмента конфиденциальности информации в организации.
основывается на введении в организации режима коммерческой тайны В соответствии со ст. 3 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» под коммерческой тайной предприятия понимается конфиденциальность информации, позволяющая её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Под информацией, составляющей коммерческую тайну в соответствии с указанным законом, понимается научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства («ноу-хау»), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введён режим коммерческой тайны. Таким образом, по смыслу законодательства, если в организации отсутствует введённый режим коммерческой тайны, то отсутствует и сама коммерческая тайна.
Для того, что бы ввести в организации режим коммерческой тайны, необходимо разработать определённый пакет документов и провести ряд организационных мероприятий. 1. необходимо чётко определить в виде перечня совокупность сведений конфиденциального характера, которые будут составлять коммерческую тайну организации. 2.необходимо определить в виде положения, каким образом будет осуществляться защита коммерческой тайны, как будут маркироваться носители коммерческой тайны, кто будет иметь право с ними работать, как это будет учитываться, на кого будет возложена функция контроля, какова будет ответственность за разглашение коммерческой тайны и т. д. 3. на основе разработанных документов необходимо внести соответствующие изменения в должностные инструкции, положения об отделах (структурных подразделениях) и иную организационно-распорядительную документацию компании. В договоры с контрагентами необходимо внести пункт о том, что все сведения, связанные с договором и его исполнением, являются конфиденциальными и подлежат передаче и разглашению третьим лицам (за исключением государственных (муниципальных) контрольно-надзорных, судебных и других органов) только по обоюдному соглашению сторон. 4.необходимо обеспечить ознакомление под роспись всех сотрудников предприятия (работающих в настоящее время и вновь принимаемых) с разработанными и вводимыми документами и взять у каждого письменное обязательство по сохранению конфиденциальности сведений, составляющих коммерческую тайну, которые стали известны в процессе работы в организации. В этом документе желательно указать обязанность по неразглашению коммерческой тайны как во время работы на предприятии, так и в течение определённого времени после увольнения. 5. необходимо создать работникам все необходимые условия для соблюдения установленного компанией режима коммерческой тайны. Как правило, необходимыми условиями являются создание возможности хранить документы, содержащие конфиденциальные сведения в запираемом месте, обеспечение доступа к персональному компьютеру, локальной сети и сети Интернет по персональному логину и паролю и т. д. 6.весьма желательно сразу после введения режима коммерческой тайны, а также периодически в дельнейшем проводить с работниками обучающие мероприятия, в процессе которых рассказывать и объяснять, зачем нужен режим коммерческой тайны, в чём он состоит, почему он важен и т. д. Весьма полезным также оказывается раздача сотрудникам Памяток о важности сохранения коммерческой тайны организации. Необходимость данных мероприятий обусловлена тем, что многие работники порой с трудом воспринимают новшества, вводимые руководством компании. Кроме того, необходимо помнить, что наличие подписи работника в листе ознакомления с положением о коммерческой тайне (перечне сведений, обязательстве) не гарантирует понимания сути и важности данных документов, а также серьёзного к ним отношения.
2. Правовые основы разработки и использования средств криптографической защиты информации.
ПРИКАЗ ФАПСИ (ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ
ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ) от 23 сентября 1999 г. N 158 «ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ПОРЯДКЕ РАЗРАБОТКИ, ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ С ОГРАНИЧЕННЫМ ДОСТУПОМ, НЕ СОДЕРЖАЩЕЙ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ»
При организации обмена подлежащей обязательной защите конфиденциальной информацией, участниками которого являются государственные органы, государственные организации, другие организации независимо от их организационно-правовой формы и формы собственности при выполнении ими государственных оборонных заказов, а также юридические лица-пользователи (потребители) конфиденциальной информации, не являющиеся государственными органами или государственными организациями и другими организациями, выполняющими государственные оборонные заказы и физические лица - пользователи (потребители) конфиденциальной информации необходимость криптографической защиты конфиденциальной информации и тип применяемых СКЗИ (в случае принятия решения о криптографической защите информации) определяются государственными органами или государственными организациями.
При организации информационного обмена конфиденциальной информацией, не подлежащей обязательной защите, необходимость ее криптографической защиты и тип применяемых СКЗИ определяются соглашениями между участниками обмена. Необходимость криптографической защиты конфиденциальной информации (как подлежащей обязательной защите, так и не подлежащей обязательной защите) при ее обработке, хранении и передаче по каналам связи в случае отсутствия обмена конфиденциальной информацией с государственными органами, государственными организациями или другими организациями, выполняющими государственные оборонные заказы, и выбор типа СКЗИ определяются ее пользователем. При принятии решения о необходимости криптографической защиты подлежащей в соответствии с действующим законодательством обязательной защите конфиденциальной информации требования настоящего Положения являются обязательными для: 1) государственных органов и государственных организаций; 2) юридических лиц и индивидуальных предпринимателей, осуществляющих виды деятельности, подлежащие в соответствии с законодательством Российской Федерации лицензированию ФАПСИ; 3)негосударственных организаций и физических лиц при необходимости обмена конфиденциальной информацией с государственными органами, государственными организациями или другими организациями, выполняющими государственные оборонные заказы; 4) других организаций независимо от их организационно-правовой формы и формы собственности при выполнении ими государственных оборонных заказов. В отношении иных лиц требования Положения ПКЗ-99 носят рекомендательный характер.
СКЗИ должны удовлетворять разрабатываемым ФАПСИ требованиям и допускаться к использованию после экспертизы в ФАПСИ.
Для криптографической защиты конфиденциальной информации могут использоваться СКЗИ, имеющие сертификат ФАПСИ (сертифицированные СКЗИ). Порядок сертификации СКЗИ определяется соответствующей системой сертификации.
3. Влияние организации офисной деятельности на реализацию защиты информации.
Офисная деятельность - это определенным образом организованная в пространстве и времени совокупность действий множества людей (персонала), реализация которых обеспечивает условия эффективного выполнения управленческой деятельности для конкретной системы, управления. Управленческое решение принимается тогда, когда выявлена та или иная управленческая проблема, проблемная ситуация, т. е. такое положение, когда при наличии данного, существующего состояния управляемого объекта (процесса) возникает необходимость другого, поскольку сохранение данного состояния мешает нормальному его функционированию, совершенствованию и развитию. Состав специалистов, выполняющих задачи в рамках офисной деятельности, определяется необходимым ее объемом в конкретных пространственных и временных конфигурациях управленческой деятельности соответствующими нормативными документами (квалификационными справочниками) и может включать в себя как собственно управленческий персонал (лиц, принимающих и готовящих решения), так и персонал, обеспечивающий информационную и организационную поддержку процесса выработки и принятия решения. Квалификация офисного персонала определяется, прежде всего, наличием соответствующей профессиональной подготовки. Определение цели, задачи (или задач) офисной деятельности определяется ее содержанием как процесса, обеспечивающего эффективную реализацию управленческой деятельности в рамках конкретной системы управления. Офисная технология - информационная технология, объект и результат которой определяются потребностями реализации управленческой деятельности в рамках конкретной формы осуществления офисной деятельности (офиса).
Реализация функции защиты данных преследует две цели: 1)обеспечение целостности данных, т. е. сохранности информации как таковой; 2)охрана данных от несанкционированного доступа.
Защита от несанкционированного доступа собственно данных достаточно разнообразна и может предусматривать: 1)криптографические средства как при хранении и использовании данных (программы шифровки и дешифровки), так и при их передаче (например, скремблирование); 2)условный доступ, когда для использования данных необходимо выполнение определенных требований (задание имени и пароля, соблюдение временных ограничений, выполнение определенных организационных процедур и т. п.).
Билет 14
1. Основные способы и принципы работы средств наблюдения объектов, подслушивания и перехвата сигналов.
Технические средства существенно расширяют и дополняют возможности человека по добыванию информации, обеспечивая: 1)съем информации с носителей, которые недоступны органам чувств человека; 2)добывание информации без нарушения границ контролируемой зоны; 3)передачу информации практически в реальном масштабе времени в любую точку земного шара; 4)анализ и обработку информации в объеме и за время, недостижимых человеком; 5)консервацию и сколь угодно долгое хранение добываемой информации. Граница между видами средств добывания достаточно условная. Условность объясняется неоднозначностью и пересечением понятий «подслушивание», «наблюдение» и «перехват». Подслушивание предполагает несанкционированное добывание акустической информации путем как восприятия акустических сигналов непосредственно ушами или с помощью акустического приемника, так и в результате промежуточной ее ретрансляции Наряду с непосредственным наблюдением с помощью визуально-оптических приборов или приборов ночного видения возможно дистанционное наблюдение с помощью телевизионной камеры на летательном аппарате (космическом аппарате, самолете-разведчике), радиосигнал которой может быть в принципе передан на любое расстояние. Одним из способов скрытого наблюдения за объектом разведки может быть получение его изображения в результате перехвата из функционального канала связи телевизионного сигнала. Добывание информации из составных каналов утечки рассматривается как дистанционное подслушивание и наблюдение, одним из этапов которых может быть перехват сигналов с представляющей интерес информацией. Так как дальность непосредственного (только ушами) подслушивания мала и оно связано с большим риском для злоумышленника, то создание технических средств подслушивания направлено, прежде всего, на увеличение длины акустического канала утечки речевой информации. Технические средства подслушивания позволяют также снимать информацию с носителей, распространяющихся в воде и твердой среде на значительно большее расстояние, чем в воздухе Запись акустических сигналов существенно повысила объективность добываемой акустической информации и позволила осуществлять подслушивание автономно (без непосредственного участия человека). Хотя зрительная система человека имеет достаточно высокие показатели, но приспособлена для обеспечения жизни человека, а не для скрытного наблюдения в условиях, малопригодных для обеспечения жизнедеятельности. Риск злоумышленника при наблюдении минимален, когда он находится вне поля зрения сотрудников службы безопасности. Технические средства наблюдения существенно расширяют возможности зрения человека по диапазону длин волн, дальности и чувствительности. Наблюдения в инфракрасном и радиодиапазонах увеличивают информативность признаковых структур объектов разведки, что способствует повышению вероятности их обнаружения и распознавания. Так как изображение содержит большой объем информации, то для ее добывания крайне важно законсервировать изображение для последующего детального анализа. Средства перехвата обеспечивают несанкционированный прием радио- и электрических сигналов и радиоактивных излучений, недоступных органам чувств человека. Так как органы чувств человека не участвуют в перехвате, то соответствующие технические средства выполняют полный набор функций по снятию информации радио- и электрических сигналов, а также потока радиоактивных частиц: обнаружение, прием, преобразование, усиление, регистрация, хранение, анализ и, наконец, преобразование электрических сигналов в вид, доступный органам чувств человека. Если носителями информации являются макротела, добыванием информации на этих носителях занимается злоумышленник, который их похищает или собирает в местах, куда носители в виде отходов выбрасываются. Вещественные признаки добываются в результате физического и химического анализа проб твердых, жидких и газообразных веществ, добытых с мест их сброса. Технические средства добывания в зависимости от места установки и условий эксплуатации имеют различные схемотехнические и конструктивные решения. Условия эксплуатации (климатические воздействия, механические нагрузки, требования к масса-габаритным характеристикам) весьма существенно сказываются на возможностях технических средств добывания информации.