Справочно-информационная система по защите персональных данных |
Структура государственной системы защиты информации в РФ, её задачи и функции, основы организации защиты сведений, отнесённых в установленном порядке к государственной или служебной тайне, определены в «Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам», утверждённом постановлением Совета Министров – Правительства Российской Федерации от 15.09.1993 № 912-51.
Настоящее Положение является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну.
Работы по защите информации в органах государственной власти и на предприятиях проводятся на основе актов законодательства РФ.
Защита осуществляется путем выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, предупреждению преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе обработки, передачи и хранения, по противодействию иностранным техническим разведкам, а также путём проведения специальных работ, порядок организации и выполнения которых определяется Правительством РФ
Главными направлениями работ по защите информации являются:
Основными организационно-техническими мероприятиями по защите информации являются:
Конкретные методы, приёмы и меры защиты информации разрабатываются в зависимости от степени возможного ущерба в случае её утечки, разрушения.
Проведение любых мероприятий и работ с использованием сведений, отнесённых к государственной или служебной тайне, без принятия необходимых мер по защите информации не допускается
Основные задачи государственной системы защиты информации:
Государственную систему защиты информации образуют: (см. рис).
Структурные и межотраслевые подразделения по защите информации органов государственной власти (в пределах их компетенции):
Непосредственное руководство работами по защите информации осуществляют руководители органов государственной власти или их заместители.
Функции по защите информации осуществляются подразделениями (штатными специалистами) по защите информации.
Управления ФСТЭК России по федеральным округам, в пределах своих зон ответственности:
Организация работ по защите информации на предприятиях осуществляется их руководителями.
В зависимости от объёма работ по защите информации руководителем предприятия создается структурное подразделение по защите информации либо назначаются штатные специалисты по этим вопросам.
Указанные подразделения (специалисты) подчиняются непосредственно руководителю предприятия или его заместителю. Работники этих подразделений приравниваются по оплате труда к соответствующим категориям работников основных структурных подразделений.
Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия, имеющие лицензии на право проведения работ в области защиты информации.
Предприятия, имеющие намерения заниматься деятельностью в области защиты информации, должны получить соответствующую лицензию на определённый вид этой деятельности. Лицензии выдаются ФСТЭК России и ФСБ России в соответствии со своей компетенцией по предоставлению органа государственной власти.
Высшие учебные заведения и институты повышения квалификации по подготовке и переподготовке кадров в области защиты информации осуществляют:
Защита информации в системах и средствах информатизации и связи является составной частью работ по их созданию, эксплуатации и осуществляется во всех органах государственной власти и на предприятиях, располагающих информацией, содержащей сведения, отнесенные к государственной или служебной тайне.
В интересах обеспечения защиты информации в системах и средствах информатизации и связи защите подлежат:
Целями защиты информации являются:
Защита информации осуществляется способами:
Предотвращение перехвата техническими средствами информации, передаваемой по каналам связи, достигается применением криптографических или иных методов и средств защиты, а также проведением организационно-технических и режимных мероприятий.
Предотвращение утечки обрабатываемой информации за счёт побочных электромагнитных излучений и наводок, а также электроакустических преобразований достигается применением защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранированием зданий или отдельных помещений, установлением контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами.
Исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации достигается путем применения специальных программно-технических средств защиты, использованием криптографических способов защиты, а также организационными и режимными мероприятиями
Предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации, достигается применением специальных программных и аппаратных средств защиты (антивирусные программы), организацией системы контроля безопасности программного обеспечения.
Выявление возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств) достигается проведением специальных проверок по выявлению этих устройств.
Предотвращение перехвата техническими средствами речевой информации из помещений и объектов достигается применением специальных средств защиты, проектными решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных устройств подслушивания и другими организационными и режимными мероприятиями.
Контроль состояния защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию.
Контроль заключается в проверке выполнения актов законодательства РФ по вопросам защиты информации, решений ФСТЭК России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утверждённых требований и норм по защите информации.
Контроль организуется ФСТЭК России, ФСБ, МВД, Министерством обороны РФ, СВР, и ФСО РФ, структурными подразделениями органов государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.
Органы государственной власти организуют и осуществляют контроль на подчинённых им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.
Защита информации считается эффективной, если принимаемые меры соответствуют установленным нормам и требованиям.
Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.
Нарушения по степени важности делятся на три категории:
При обнаружении нарушений первой категории руководители органов государственной власти и предприятий обязаны:
Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер, проводимой ФСТЭК России или по её поручению подразделениями по защите информации органов государственной власти.
При обнаружении нарушений второй и третьей категорий руководители проверяемых органов государственной власти и предприятий обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку, или заказчиков (представителем заказчика). Контроль за устранением этих нарушений осуществляется подразделениями по защите информации этих органов государственной власти и предприятий.
Финансирование мероприятий по защите информации, содержащей сведения, отнесённые к государственной или служебной тайне, а также подразделения по защите информации в органах государственной власти и на бюджетных предприятиях предусматривается в сметах расходов на их содержание.
Создание технических средств защиты информации, не требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на научно-исследовательские и опытно-конструкторские работы, связанные с разработкой продукции. Расходы по разработке технических средств защиты включаются в стоимость разработки образца продукции.
Создание технических средств защиты информации, требующее капитальных вложений осуществляется в пределах средств, выделяемых заказчикам на строительство (реконструкцию) сооружений или объектов.