Количество основных видов тайн содержащихся в информации и подлежащих защите равно
Обновлено
Поделиться
Виды защищаемой информации
Государственная тайна
Персональные данные/GDPR
Коммерческая тайна
Автоматизированные системы управления технологическими процессами (АСУ ТП)
Государственные и муниципальные ИС
Информация для служебного пользования
Открытые информационные ресурсы
Государственная тайна – установленный законодательством круг сведений, разглашение которых может привести к снижению обороноспособности страны или причинить существенный вред национальной безопасности, экономическим или политическим интересам. Защите от несанкционированного распространения подлежит информация, относящаяся к следующим сферам:
Вооруженные силы государства.
Сведения о внешнеполитической деятельности государства.
Информация о научно-исследовательских и опытно-конструкторских разработках, данные об экономических показателях по отдельным направлениям.
Сведения, относящиеся к деятельности органов национальной безопасности, внешней разведки и оперативно-розыскных мероприятий, проводимых правоохранительными структурами.
Для сохранения государственной тайны законодательством страны вводится особый административно-правовой порядок в данной сфере — режим секретности. Для его обеспечения разрабатывается комплекс мер по защите таких сведений от разглашения и противодействия шпионажу и разведке иностранных государств. С этой целью вводится уголовная ответственность за передачу секретной информации третьим лицам или незаконного ее распространения. Важность сведений, относящихся к государственной тайне различна, часть из них может носить стратегический, оперативный или локальный характер. Соответственно этому и вводится понятие о степени секретности для каждого из перечисленных уровней. В каждой из стран устанавливается своя система обозначений в указанной области, которая закрепляется законом или иными нормативно-правовыми актами. Любая информация, в том числе и относящаяся к секретной, существует на носителях разных видов. Это могут быть и материальные объекты: бумага и виртуальные — компьютерные файлы на жестких и лазерных дисках, картах памяти и тому подобное. Носителем информации признается и человек, обладающий секретными сведениями. Доступ к государственной тайне производится на основании допуска, который оформляется компетентными органами после проверок.
Говоря о частных лицах, под “персональными данными” понимается вся возможная информация, которая либо прямо, либо косвенно относится к определенному физическому лицу (согласно терминологии закона – субъекту персональных данных). Согласие на получение и последующую обработку персональных данных частное лицо может предоставить только самостоятельно, выразив это в письменной форме. При этом разрешение на любое использование личных данных может быть оформлено и как отдельным документом, так и быть пунктом договора (например, кредитного или депозитного). Обратите внимание – любая онлайн-заявка на кредит будет недействительна при отсутствии вашего согласия (обычно требуется поставить галочку возле соответствующего пункта). Получение либо использование любой персональной информации о частном лице без наличия на то письменного или иного согласия является незаконным. Также неправомерными считаются и случаи обработки персональных сведений после получения от частного лица заявления на отзыв согласия на такую обработку. Тем не менее существуют исключения. Например, персональные данные могут быть получены без согласия человека для работы государственных органов, а для соблюдения обязательств по действующим договорам обработка персональной информации может быть продолжена и после отзыва согласия на ее использование.
Общий регламент по защите данных (General Data Protection Regulation). Документ предоставляет резидентам Евросоюза (ЕС) возможность управлять персональными данными: спрашивать про цели обработки, место их хранения, а в случае необходимости удалить. Он вступает в силу с 25 мая 2018 года. Какие данные защищает GDPR? Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.
Прозрачность и законность. Компании должны понятно объяснить, для чего они собирают данные и как планируют использовать их в дальнейшем.
Ограничение цели. Если цели сбора данных изменились, но они и дальше продолжают использоваться — это нарушение.
Минимум информации. Данные нужны только в объеме, необходимом для достижения конкретных целей, нельзя запрашивать лишнее.
Управление данными. Пользователь может запросить копию всей личной информации, которая у вас есть по нему — будьте готовы предоставить ее в течение 30 дней. Также пользователь может потребовать удалить данные о нем без права восстановления.
Ограничение хранения. Срок хранения данных должен пересекаться со сроком достижения целей. Как только цель достигнута — данные удаляются.
Безопасность хранения. Нельзя передавать данные третьим лицам. В случае утечки сообщать об этом в течение трех дней.
GDPR имеет экстерриториальное действие. Новые правила распространятся на всех, кто работает с данными резидентов ЕС. Неважно, есть ли у вас филиалы в Европе, где зарегистрирована компания и где она обрабатывает данные. Главное условие — работа с данными европейцев, полученными на территории Евросоюза (в том числе через интернет). География покрытия документа — 28 стран. Игнорировать GDPR будет сложно всем. Даже самая маленькая российская компания не может быть на 100% уверена в том, что у одного из подписчиков не может быть 2 гражданства. И одно из них может оказаться европейским. Поэтому будет разумно еще раз проверить свои клиентские базы. За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании. Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.
Коммерческая тайна — режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Под режимом конфиденциальности информации понимается введение и поддержание особых мер по защите информации.
Также под коммерческой тайной могут подразумевать саму информацию, которая составляет коммерческую тайну, то есть, научно-техническую, технологическую, производственную, финансово-экономическую или иную информацию, в том числе составляющую секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введён режим коммерческой тайны. Обладатель информации имеет право отнести её к коммерческой тайне, если эта информация отвечает вышеуказанным критериям и не входит в перечень информации, которая не может составлять коммерческую тайну (ст.5 закона «О коммерческой тайне»). Чтобы информация получила статус коммерческой тайны, её обладатель должен исполнить установленные процедуры (составление перечня, нанесение грифа и некоторые другие). После получения статуса коммерческой тайны информация начинает охраняться законом. Разглашение информации, составляющей коммерческую тайну – действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору. За разглашение (умышленное или неосторожное), а также за незаконное использование информации, составляющей коммерческую тайну, предусмотрена ответственность — дисциплинарная, гражданско-правовая, административная, уголовная и материальная. Материальная ответственность наступает независимо от других форм ответственности.
Автоматизированные системы управления технологическими процессами (АСУ ТП)
Автоматизированная система управления технологическим процессом (АСУ ТП) — группа решений технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях. Может иметь связь с более общей автоматизированной системой управления предприятием (АСУП). Под АСУ ТП обычно понимается целостное решение, обеспечивающее автоматизацию основных операций технологического процесса на производстве в целом или каком-то его участке, выпускающем относительно завершённое изделие.
Понятие «автоматизированный», в отличие от понятия «автоматический», подчёркивает необходимость участия человека в отдельных операциях, как в целях сохранения контроля над процессом, так и в связи со сложностью или нецелесообразностью автоматизации отдельных операций. Составными частями АСУ ТП могут быть отдельные системы автоматического управления (САУ) и автоматизированные устройства, связанные в единый комплекс. Такие как системы диспетчерского управления и сбора данных (SCADA), распределенные системы управления (DCS), и другие более мелкие системы управления (например, системы на программируемых логических контроллерах (PLC)). Как правило, АСУ ТП имеет единую систему операторского управления технологическим процессом в виде одного или нескольких пультов управления, средства обработки и архивирования информации о ходе процесса, типовые элементы автоматики: датчики, устройства управления, исполнительные устройства. Для информационной связи всех подсистем используются промышленные сети.
Государственные и муниципальные информационные системы
Информационные системы ежедневно встречаются в нашей жизни – дома, на работе, на улице, в транспорте. И сегодня только представить жизнь без таких систем довольно сложно! Ведь информационные системы – это наши, так называемые, помощники. Любая организация уже не может полноценно заниматься какой-либо деятельностью без информационно-аналитических систем. Один из самых простых примеров повседневной информационной системы можно назвать телефонный справочник, где указаны номера, а также фамилия, имя, отчество абонентов. На предприятиях активно используются информационные системы управления. С помощью таких систем жизнь человечества существенно облегчается, это огромная и неоценимая помощь, ведь один или несколько человек не могут держать в голове или же на бумажных носителях данные, которые в компьютере занимают терабайты оперативной памяти. Однако просто хранить такую информацию – это мало, ее нужно систематизировать и адаптировать для удобного использования. Все информационные системы можно представить в виде информационного справочника и информационной базы данных. Каждая из этих систем может подразделяться на другие с более конкретной направленностью, например, по тематикам – медицина, география и др. Таким образом, для каждой сферы деятельности имеется своя информационная система управления. Главную функцию, которую преследует абсолютно каждая такая система — это сбор, хранение и поиск информации. Большое количество информации нередко затрудняет поиск, для этого требуется много времени и усилий. Информационные системы управления – это главный помощник в поиске нужной информации. Это очень быстро, довольно удобно и весьма практично. К тому же, информация в электронном виде в ближайшем будущем заменит бумажные документы, поскольку обращаться с электронными документами – это куда проще, быстрее и экономичнее.
Информация для служебного пользования
Документы с грифом «Для служебного пользования» — это документы, содержащие служебную информацию ограниченного распространения, относящуюся к несекретной информации, касающуюся деятельности организации, ограничение на распространение которой диктуется служебной необходимостью.Общепринятым сокращением для обозначения документов, содержащих информацию ограниченного делопроизводства является аббревиатура — ДСП. При учете документов с грифом «Для служебного пользования» необходимо фиксировать не только данные о самом документе, включая количество его экземпляров и листов, поскольку утрата экземпляра или отдельных листов при безучетном их хранении зачастую приводит и к утечке информации, но и любое движение и местонахождение документа, что позволяет, помимо расширения справочно-поисковых данных о документе, обеспечивать персональную ответственность за его сохранность и качественно проводить проверки наличия документов с целью своевременного обнаружения их возможных утрат.
Открытые информационные ресурсы
Современная информационная система представляет собой совокупность неоднородных элементов и реализует широкий диапазон сетевых функций и услуг. Наиболее полной моделью ИС является модель сетевого взаимодействия открытых систем. Такая ИС представляет универсальную распределенную среду с широкими вычислительными возможностями, ориентированную на большой круг пользователей. Однако при этом она становится мишенью для возможных угроз, попыток несанкционированного доступа, что делает актуальной проблему защиты таких ИС. Потребность обеспечения надежности вычислительных услуг, целостности, конфиденциальности и доступности информации приводит к целесообразности включения функции защиты в число обязательных функций ИС.
Характеристики безопасной ИС
1. Целостность ресурсов ИС предполагает выполнение следующих условий:
а) все ресурсы ИС всегда доступны пользователям независимо от надежности технического или качества программного видов обеспечения, а также несанкционированных действий (защита от потери данных);
б) наиболее важные ресурсы всегда доступны независимо от попыток их разрушения (защита от разрушения данных).
2. Защита (безопасность) ресурсов ИС означает, что все операции с этими ресурсами выполняются по строго определенным правилам и инструкциям.
3. Право владения ресурсами ИС есть право отдельных субъектов ИС распоряжаться принадлежащей им информацией (имеется в виду ее сбор, хранение, использование и распространение).
Эти три основные характеристики функционирования сети (целостность, безопасность и право владения ресурсами) составляют основу надежности среды, поддерживаемой ИС.
Видео:Информационная безопасность. Основы информационной безопасности.Скачать
Классификация информации по видам тайн и степеням конфиденциальности
В соответствии со статьей 5 ФЗ РФ от 2006 года № 149-ФЗ «Об информации, ИТ и о ЗИ», информация в зависимости от порядка ее предоставления или распространения подразделяется на:
информацию, свободно распространяемую;
информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
информацию, которая в соответствии с ФЗ подлежит предоставлению или распространению;
информацию, распространение которой в Российской Федерации ограничивается или запрещается.
Видео:Защита информации. Основы информационной безопасности.Скачать
Порядок и особенности определения состава защищаемой информации
По законодательству РФ виды информации в зависимости от ее содержания или обладателя.
Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространения. которых может нанести ущерб безопасности РФ (ст. 2 Закона РФ 1993 г. «О ГТ»).
Коммерческая тайна – КИ, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Информация, составляющая КТ, — научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действ/потенц. коммерческую ценность в силу неизвестности ее 3–м лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим КТ (ст. 3 ФЗ 2004 г. № 98-ФЗ «О КТ»).
Служебная информация ограниченного распространения (служебная тайна) – служебные сведения, доступ к которым ограничен. органами гос. власти по ГКРФ и ФЗ (п3 Указа Президента РФ от 06.03.1997. N 188)
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе его ФИО, дата и место рождения, адрес, семейное, соц., имущ. положение, образование, проф., доходы, другая инфа (ст. 3 ФЗ 2006 г. № 152-ФЗ «О ПД»).
Классификации информационных ресурсов по категориям доступа:
Методика формирования перечня сведений, составляющих КТ(определение состава):
Определение круга сведений, составляющих коммерческую тайну.
Сведения, составляющие КТ предприятия, отражаются в Перечне сведений.
Подготовка Перечня путем работы экспертной комиссии. Приказом руководителя создается комиссия из наиболее квалифицированных и компетентных специалистов отделов предприятия, допускаемых к КТ.
Эксперты ознакомляются только с теми с конкретными сведениями, к которым они допущены.
Задачи экспертной комиссии:
выделить виды деятельности предприятия, приносящие прибыль;
степень прибыльности деятельности;
определить вероятную перспективу рентабельности.
Работа по формированию перечня может состоять из следующих этапов:
определение возможного ущерба, наступающего в результате распространения КТ;
определение преимуществ открытого использования рассматриваемых сведений;
определение затрат на защиту;
принятие решения о включении сведений в Перечень;
D uis non lectus sit amet est imperdiet cursus elementum vitae eros. Cras quis odio in risus euismod suscipit. Fusce viverra ligula vel justo bibendum semper. Nulla facilisi. Donec interdum, enim in dignissim lacinia, lectus nisl viverra lorem, ac pulvinar nunc ante.
Elsewhere
Pellentesque consectetur lectus quis enim mollis ut convallis urna malesuada. Sed tincidunt interdum sapien vel gravida. Nulla a tellus lectus.
Видео:Что такое государственная тайна и как ее [НЕ] охраняютСкачать
Количество основных видов тайн содержащихся в информации и подлежащих защите равно
В соответствии со статьей 8 Федерального закона от 28.12.2010 № 390-ФЗ «О безопасности» Президент Российской Федерации устанавливает компетенцию федеральных органов исполнительной власти в области обеспечения безопасности, руководство деятельностью которых он осуществляет и решает в соответствии с законодательством Российской Федерации вопросы, связанные с обеспечением защиты информации и государственной тайны.
Соответствующими указами Президентом определены федеральные органы исполнительной власти, реализующие полномочия по защите информации:
Федеральная служба то техническому и экспортному контролю Российской Федерации (ФСТЭК России) — Указ Президента РФ от 16.08.2004 № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю».
ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
противодействия иностранным техническим разведкам на территории Российской Федерации;
обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;
защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;
осуществления экспортного контроля.
Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения государственными органами и организациями.
ФСТЭК России осуществляет методическое руководство деятельностью государственных органов и организаций в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации.
Федеральная служба безопасности Российской Федерации (ФСБ России) — Указ Президента РФ от 11.08.2003 № 960 «Вопросы Федеральной службы безопасности Российской Федерации».
Основными задачами ФСБ России в области защиты информации являются:
обеспечение в пределах своих полномочий защиты сведений, составляющих государственную тайну, и противодействия иностранным организациям, осуществляющим техническую разведку;
формирование и реализация в пределах своих полномочий государственной и научно-технической политики в области обеспечения информационной безопасности;
организация в пределах своих полномочий обеспечения криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом.
Различие компетенций вышеперечисленных органов исполнительной власти заключается в следующем:
ФСТЭК России формирует требования и производит контроль мероприятий по защите информации некриптографическими методами (разграничение прав пользователей, защита информации от побочных электромагнитных излучений, защита речевой информации и др.);
ФСБ России формирует требования и производит контроль мероприятий по защите информации криптографическими методами (защита каналов связи, электронная подпись).
Защита информации некриптографическими методами является наиболее массовым видом при создании защищенных информационных систем.
В соответствии со статьей 12 федерального закона «О безопасности» органы государственной власти субъектов Российской Федерации и органы местного самоуправления в пределах своей компетенции обеспечивают исполнение законодательства Российской Федерации в области обеспечения безопасности.
2. Нормативно-правовая база защиты информации
Основой для формирования государственной политики и развития общественных отношений в области обеспечения информационной безопасности, а также для выработки мер по совершенствованию системы обеспечения информационной безопасности является Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента РФ от 5 декабря 2016 г. № 646.
Организация работ по защите информации в органах исполнительной власти осуществляется их руководителями. Для организации и проведения работы по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).
В органах исполнительной власти субъекта может циркулировать два вида информации подлежащей обязательной защите в соответствии с действующим законодательством:
1. Информация, составляющая государственную тайну (Указ Президента РФ от 11.02.2006 № 90 «О перечне сведений, отнесенных к государственной тайне»).
2. Конфиденциальная информация (Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»), которая в свою очередь делится на несколько составляющих, наиболее часто встречающихся в исполнительных органах власти:
персональные данные (любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу);
служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с федеральными законами (служебная тайна – сведения, содержащие информацию ограниченного доступа, документы с пометкой «Для служебного пользования»).
Для вышеперечисленных видов информации должны в обязательном порядке применяться меры по защите информации.
Защита сведений, отнесенных к государственной тайне, осуществляется в соответствии с законом РФ от 21.07.1993 N 5485-1 (ред. от 29.07.2018) «О государственной тайне» и инструкцией по обеспечению режима секретности в РФ от 05.01.2004 3-1.
Одна из основных целей защиты информации – это предотвращение ее утечки по техническим каналам.
В соответствии со статьей 16 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ, обладатель информации обязан обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.
3. Требования по защите информации
Конкретные требования по защите информации, которые должен обеспечить обладатель информации, отражены в руководящих документах ФСТЭК и ФСБ России. Документы также делятся на ряд направлений:
защита информации при обработке сведений, составляющих государственную тайну;
защита конфиденциальной информации (в т.ч. персональных данных);
защита информации в ключевых системах информационной инфраструктуры.
Конкретные требования по защите информации определены в руководящих документах ФСТЭК России.
При создании и эксплуатации государственных информационных систем (а это все информационные системы областных органов исполнительной власти) методы и способы защиты информации должны соответствовать требованиям ФСТЭК и ФСБ России.
Документы, определяющие порядок защиты конфиденциальной информации и защиты информации в ключевых системах информационной инфраструктуры имеют пометку «Для служебного пользования». Документы по технической защите информации, как правило, имеют гриф «секретно».
4. Аттестация объектов информатизации
Основной единицей в терминах защиты информации принято считать объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров (если упрощенно, объекты информатизации – это автоматизированные системы, на которых обрабатывается защищаемая информация и защищаемые помещения, в которых ведутся конфиденциальные переговоры).
Подтверждением того, что объект информатизации защищен, является наличие на объекте «аттестата соответствия» («Положение по аттестации объектов информатизации по требованиям безопасности информации». Утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября1994 г.).
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.
Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленным в «Аттестате соответствия».
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки конфиденциальной информации, информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Аттестация проводится органом по аттестации (организация, имеющая лицензии ФСТЭК России).
Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители.
Для проведения аттестации объектов информатизации, на которых обрабатывается:
информация, содержащая сведения, составляющие государственную тайну, требуется лицензия ФСТЭК России на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны (в части технической защиты информации);
конфиденциальная информация требуется лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав pазpаботчиков аттестуемых объектов информатизации и их компонент.
5. Сертификация средств защиты информации
В соответствии с Постановлением Правительства РФ от 26.06.1995 № 608 «О сертификации средств защиты информации» технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.
Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ России.
Оценка соответствия средств, предназначенных для защиты информации конфиденциального характера проводится на основании Постановления Правительства РФ «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» от 15 мая 2010 г. № 330-дсп.
На аттестованных объектах информатизации должны применяться сертифицированные по требованиям безопасности информации средства защиты информации. Сертификация средств защиты осуществляется испытательными лабораториями.
Федеральными органами по сертификации являются ФСТЭК России и ФСБ России в части:
разработки и производства средств защиты информации, составляющей государственную тайну;
разработки и производства средств защиты конфиденциальной информации.
6. Построение системы защиты информации в организации
Вопросы создания и непосредственного руководства подразделениями по защите информации в органах государственной власти возлагаются на руководителей органов государственной власти или их заместителей.
Для организации и проведения работ по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).
Указанные подразделения организуют свою деятельность в соответствии с «Типовым положением о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации», утвержденным решением Гостехкомиссии России от 14 марта 1995 г. № 32.
7. Контроль состояния защиты информации
Контроль состояния защиты информации (далее — контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.
Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений ФСТЭК России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.
Контроль организуется ФСТЭК России, ФСБ России, другими органами государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.
ФСТЭК России организует контроль силами центрального аппарата и территориальных Управлений ФСТЭК России.
Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю.
Территориальные управления ФСТЭК России, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих управлений.
Органы государственной власти организуют и осуществляют контроль на подчиненных им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.
Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесенных к государственной или служебной тайнам, осуществляется органами государственной власти, ФСТЭК России, ФСБ России и заказчиком работ в соответствии с их компетенцией.
Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.
Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.
🔍 Видео
Основные понятия информационной безопасностиСкачать