Инструкция по защите информации от технических разведок

Просмотров: 1085

В соответствии со статьей 8 Федерального закона от 28.12.2010 № 390-ФЗ «О безопасности» Президент Российской Федерации устанавливает компетенцию федеральных органов исполнительной власти в области обеспечения безопасности, руководство деятельностью которых он осуществляет и решает в соответствии с законодательством Российской Федерации вопросы, связанные с обеспечением защиты информации и государственной тайны.

Соответствующими указами Президентом определены федеральные органы исполнительной власти, реализующие полномочия по защите информации:

Федеральная служба то техническому и экспортному контролю Российской Федерации (ФСТЭК России) — Указ Президента РФ от 16.08.2004 № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю».

ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

• обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

• противодействия иностранным техническим разведкам на территории Российской Федерации;

• обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;

• защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

• осуществления экспортного контроля.

Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения государственными органами и организациями.

ФСТЭК России осуществляет методическое руководство деятельностью государственных органов и организаций в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации.

Федеральная служба безопасности Российской Федерации (ФСБ России) — Указ Президента РФ от 11.08.2003 № 960 «Вопросы Федеральной службы безопасности Российской Федерации».

Основными задачами ФСБ России в области защиты информации являются:

• обеспечение в пределах своих полномочий защиты сведений, составляющих государственную тайну, и противодействия иностранным организациям, осуществляющим техническую разведку;

• формирование и реализация в пределах своих полномочий государственной и научно-технической политики в области обеспечения информационной безопасности;

• организация в пределах своих полномочий обеспечения криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом.

Различие компетенций вышеперечисленных органов исполнительной власти заключается в следующем:

ФСТЭК России формирует требования и производит контроль мероприятий по защите информации некриптографическими методами (разграничение прав пользователей, защита информации от побочных электромагнитных излучений, защита речевой информации и др.);

ФСБ России формирует требования и производит контроль мероприятий по защите информации криптографическими методами (защита каналов связи, электронная подпись).

Защита информации некриптографическими методами является наиболее массовым видом при создании защищенных информационных систем.

В соответствии со статьей 12 федерального закона «О безопасности» органы государственной власти субъектов Российской Федерации и органы местного самоуправления в пределах своей компетенции обеспечивают исполнение законодательства Российской Федерации в области обеспечения безопасности.

2. Нормативно-правовая база защиты информации

Основой для формирования государственной политики и развития общественных отношений в области обеспечения информационной безопасности, а также для выработки мер по совершенствованию системы обеспечения информационной безопасности является Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента РФ от 5 декабря 2016 г. № 646.

Организация работ по защите информации в органах исполнительной власти осуществляется их руководителями. Для организации и проведения работы по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).

В органах исполнительной власти субъекта может циркулировать два вида информации подлежащей обязательной защите в соответствии с действующим законодательством:

1. Информация, составляющая государственную тайну (Указ Президента РФ от 11.02.2006 № 90 «О перечне сведений, отнесенных к государственной тайне»).

2. Конфиденциальная информация (Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»), которая в свою очередь делится на несколько составляющих, наиболее часто встречающихся в исполнительных органах власти:

персональные данные (любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу);

служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с федеральными законами (служебная тайна – сведения, содержащие информацию ограниченного доступа, документы с пометкой «Для служебного пользования»).

Для вышеперечисленных видов информации должны в обязательном порядке применяться меры по защите информации.

Защита сведений, отнесенных к государственной тайне, осуществляется в соответствии с законом РФ от 21.07.1993 N 5485-1 (ред. от 29.07.2018) «О государственной тайне» и инструкцией по обеспечению режима секретности в РФ от 05.01.2004 3-1.

Одна из основных целей защиты информации – это предотвращение ее утечки по техническим каналам.

В соответствии со статьей 16 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ, обладатель информации обязан обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

3. Требования по защите информации

Конкретные требования по защите информации, которые должен обеспечить обладатель информации, отражены в руководящих документах ФСТЭК и ФСБ России. Документы также делятся на ряд направлений:

• защита информации при обработке сведений, составляющих государственную тайну;

• защита конфиденциальной информации (в т.ч. персональных данных);

• защита информации в ключевых системах информационной инфраструктуры.

Конкретные требования по защите информации определены в руководящих документах ФСТЭК России.

При создании и эксплуатации государственных информационных систем (а это все информационные системы областных органов исполнительной власти) методы и способы защиты информации должны соответствовать требованиям ФСТЭК и ФСБ России.

Документы, определяющие порядок защиты конфиденциальной информации и защиты информации в ключевых системах информационной инфраструктуры имеют пометку «Для служебного пользования». Документы по технической защите информации, как правило, имеют гриф «секретно».

4. Аттестация объектов информатизации

Основной единицей в терминах защиты информации принято считать объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров (если упрощенно, объекты информатизации – это автоматизированные системы, на которых обрабатывается защищаемая информация и защищаемые помещения, в которых ведутся конфиденциальные переговоры).

Подтверждением того, что объект информатизации защищен, является наличие на объекте «аттестата соответствия» («Положение по аттестации объектов информатизации по требованиям безопасности информации». Утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября1994 г.).

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.

Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленным в «Аттестате соответствия».

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки конфиденциальной информации, информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация проводится органом по аттестации (организация, имеющая лицензии ФСТЭК России).

Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители.

Для проведения аттестации объектов информатизации, на которых обрабатывается:

информация, содержащая сведения, составляющие государственную тайну, требуется лицензия ФСТЭК России на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны (в части технической защиты информации);

конфиденциальная информация требуется лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав pазpаботчиков аттестуемых объектов информатизации и их компонент.

5. Сертификация средств защиты информации

В соответствии с Постановлением Правительства РФ от 26.06.1995 № 608 «О сертификации средств защиты информации» технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ России.

Оценка соответствия средств, предназначенных для защиты информации конфиденциального характера проводится на основании Постановления Правительства РФ «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» от 15 мая 2010 г. № 330-дсп.

На аттестованных объектах информатизации должны применяться сертифицированные по требованиям безопасности информации средства защиты информации. Сертификация средств защиты осуществляется испытательными лабораториями.

Федеральными органами по сертификации являются ФСТЭК России и ФСБ России в части:

• разработки и производства средств защиты информации, составляющей государственную тайну;

• разработки и производства средств защиты конфиденциальной информации.

6. Построение системы защиты информации в организации

Вопросы создания и непосредственного руководства подразделениями по защите информации в органах государственной власти возлагаются на руководителей органов государственной власти или их заместителей.

Для организации и проведения работ по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).

Указанные подразделения организуют свою деятельность в соответствии с «Типовым положением о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации», утвержденным решением Гостехкомиссии России от 14 марта 1995 г. № 32.

7. Контроль состояния защиты информации

Контроль состояния защиты информации (далее — контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений ФСТЭК России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.

Контроль организуется ФСТЭК России, ФСБ России, другими органами государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

ФСТЭК России организует контроль силами центрального аппарата и территориальных Управлений ФСТЭК России.

Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю.

Территориальные управления ФСТЭК России, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих управлений.

Органы государственной власти организуют и осуществляют контроль на подчиненных им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.

Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесенных к государственной или служебной тайнам, осуществляется органами государственной власти, ФСТЭК России, ФСБ России и заказчиком работ в соответствии с их компетенцией.

Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.

Приказ Ростехнадзора от 06.10.2006 N 873
«Об утверждении и введении в действие Типовой инструкции о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций Федеральной службы по экологическому, технологическому и атомному надзору»
(вместе с «Типовой инструкцией… РД-21-02-2006»)3.7.2. В соответствии с Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам <*> в территориальном органе (подведомственной организации) разрабатывается Руководство по защите информации от технических разведок и от ее утечки по техническим каналам (далее — Руководство), содержание которого приведено в Приложении N 12 к настоящей Инструкции.

ПОЛОЖЕНИЕ

«О государственной системе защиты информации

в российской федерации от иностранных технических

разведок и от ее утечки по техническим каналам»

(утв. Постановлением Совета Министров – Правительства РФ от 15 сентября 1993 г. № 912-51)

I. общие положения

1. Настоящее Положение является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, в органах (аппаратах, администрациях) представительной, исполнительной и судебной властей Российской Федерации, республик в составе Российской Федерации, автономной области, автономных округов, краев, областей, городов Москвы и Санкт-Петербурга и в органах местного самоуправления (далее именуются – органы государственной власти), на предприятиях и в их объединениях, учреждениях и организациях независимо от их организационно-правовой формы и формы собственности (далее именуются – предприятия).

2. Положение определяет структуру государственной системы защиты информации в Российской Федерации, ее задачи и функции, основы организации защиты сведений, отнесенных в установленном порядке к государственной или служебной тайне, от иностранных технических разведок и от ее утечки по техническим каналам (далее именуется – защита информации).

3. Работы по защите информации в органах государственной власти и на предприятиях проводятся на основе актов законодательства Российской Федерации.

4. Защита информации осуществляется путем выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, предупреждению преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе обработки, передачи и хранения, по противодействию иностранным техническим разведкам, а также путем проведения специальных работ, порядок организации и выполнения которых определяется Советом Министров – Правительством Российской Федерации.

5. Мероприятия по защите информации являются составной частью управленческой, научной и производственной деятельности и осуществляются во взаимосвязи с другими мерами по обеспечению установленного режима секретности проводимых работ.

6. Главными направлениями работ по защите информации являются:

— обеспечение эффективного управления системой защиты информации;

— определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения;

— анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите;

— разработка организационно-технических мероприятий по защите информации и их реализация;

— организация и проведение контроля состояния защиты информации.

7. Основными организационно-техническими мероприятиями по защите информации являются:

— лицензирование деятельности предприятий в области защиты информации;

— аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;

— сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;

— категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

— обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;

— оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории Российской Федерации;

— введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;

— создание и применение информационных и автоматизированных систем управления в защищенном исполнении;

— разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации вооружения и военной техники, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;

— разработка средств защиты информации и контроля за ее эффективностью (специального и общего применения) и их использование;

— применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передаваемой по каналам связи.

8. Конкретные методы, приемы и меры защиты информации разрабатываются в зависимости от степени возможного ущерба в случае ее утечки, разрушения (уничтожения).

9. Проведение любых мероприятий и работ с использованием сведений, отнесенных к государственной или служебной тайне, без принятия необходимых мер по защите информации не допускается.

II. государственная система защиты информации

10. Основные задачи государственной системы защиты информации:

— проведение единой технической  политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

— исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе ее обработки, передачи и хранения;

— принятие в пределах компетенции правовых актов, регулирующих отношения в области защиты информации;

— анализ состояния и прогнозирование возможностей технических средств разведки и способов их применения, формирование системы информационного обмена сведениями по осведомленности иностранных разведок;

— организация сил, создание средств защиты информации и контроля за ее эффективностью;

— контроль состояния защиты информации в органах государственной власти и на предприятиях.

18. Организация работ по защите информации на предприятиях осуществляется их руководителями.

В зависимости от объема работ по защите информации руководителем предприятия создается структурное подразделение по защите информации либо назначаются штатные специалисты по этим вопросам (например Администратор информационной безопасности).

Подразделения по защите информации (штатные специалисты) на предприятиях:

— осуществляют мероприятия по защите информации в ходе выполнения работ с использованием сведений, отнесенных к государственной или служебной тайне;

— определяют совместно с заказчиком работ основные направления комплексной защиты информации;

— участвуют в согласовании технических (тактико-технических) заданий на проведение таких работ;

— дают заключение о возможности проведения работ с информацией, содержащей сведения, отнесенные к государственной или служебной тайне.

Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю. Работники этих подразделений (штатные специалисты) приравниваются по оплате труда к соответствующим категориям работников основных структурных подразделений.

Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия, имеющие лицензии на право проведения работ в области защиты информации.

19. Предприятия, имеющие намерения заниматься деятельностью в области защиты информации, должны получить соответствующую лицензию на определенной вид этой деятельности. Лицензии выдаются Государственной технической комиссией при Президенте Российской Федерации и другими лицензирующими органами в соответствии со своей компетенцией по представлению органа государственной власти.

20. Высшие учебные заведения и институты повышения квалификации по подготовке и переподготовке кадров в области защиты информации (например: Институт криптографии, связи и информатики ФСБ  ; РГГУ; Санкт-Петербургский специальный центр защиты информации ; НИП Информзащита

1) первичную подготовку специалистов по комплексной защите информации;

2) переподготовку (повышение квалификации) специалистов по защите информации органов государственной власти и предприятий;

3) усовершенствование знаний руководителей органов государственной власти и предприятий в области защиты информации.

Подготовка кадров для государственной системы защиты информации осуществляется при методическом руководстве Государственной технической комиссии при Президенте Российской Федерации.

III. организация защиты информации в системах и средствах информатизации и связи

21. Защита информации в системах и средствах информатизации и связи является составной частью работ по их созданию, эксплуатации и осуществляется во всех органах государственной власти и на предприятиях, располагающих информацией, содержащей сведения, отнесенные к государственной или служебной тайне.

22. Требования по защите информации в системах и средствах информатизации и связи определяются заказчиками совместно с разработчиками на стадии подготовки и согласования решений, приказов и директив, планов и программ работ, технических и тактико-технических заданий на проведение исследований, разработку (модернизацию), испытания, производство и эксплуатацию (применение) на основе стандартов, нормативно-технических и методических документов, утверждаемых Комитетом Российской Федерации по стандартизации, метрологии и сертификации, Государственной технической комиссией при Президенте Российской Федерации и другими органами государственной власти в соответствии с их компетенцией. Указанные требования согласовываются с подразделениями по защите информации.

23. Организация защиты информации в системах и средствах информатизации и связи возлагается на руководителей органов государственной власти и предприятий, заказчиков и разработчиков систем и средств информатизации и связи, руководителей подразделений, эксплуатирующих эти системы и средства, а ответственность за обеспечение защиты информации – непосредственно на пользователя (потребителя) информации.

24. В интересах обеспечения защиты информации в системах и средствах информатизации и связи защите подлежат:

1) информационные ресурсы, содержащие сведения, отнесенные к государственной или служебной тайне, представленные в виде носителей на магнитной и оптической основе, информативных физических полей, информативных массивов и баз данных;

2) средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации, содержащей сведения, отнесенные к государственной или служебной тайне;

3) технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения, отнесенные к государственной или служебной тайне, а также сами помещения, предназначенные для ведения секретных переговоров;

25. Целями защиты информации являются:

1) предотвращение утечки информации по техническим каналам;

2) предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в системах информатизации;

3) соблюдение правового режима использования массивов и программ обработки информации, а также обеспечение полноты, целостности и достоверности информации в системах обработки;

4) сохранение возможности управления процессом обработки и пользования информацией.

26. Защита информации осуществляется путем:

1) предотвращение перехвата техническими средствами информации, передаваемой по каналам связи;

2) предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами, а также электроакустических преобразований;

3) исключения несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;

4) предотвращения специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации;

5) выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств);

6) предотвращения перехвата техническими средствами речевой информации из помещений и объектов.

Предотвращение перехвата техническими средствами информации, передаваемой по каналам связи, достигается применением криптографических и иных методов и средств защиты, а также проведением организационно-технических и режимных мероприятий.

Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований достигается применением защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранированием зданий или отдельных помещений, установлением контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами.

Исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации достигается применением специальных программно-технических средств защиты, использованием криптографических способов защиты, а также организационными и режимными мероприятиями.

Предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации, достигается применением специальных программных и аппаратных средств защиты (антивирусных процессоров, антивирусных программ), организацией системы контроля безопасности программного обеспечения.

Выявление возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств) достигается проведением специальных проверок по выявлению этих устройств.

Предотвращение перехвата техническими средствами речевой информации из помещений и объектов достигается применением специальных средств защиты, проектными решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных устройств подслушивания и другими организационными и режимными мероприятиями.

27. Информация, содержащая сведения, отнесенные к государственной или служебной тайне, должна обрабатываться с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств защиты, сертифицированных в установленном порядке.

Соответствие технического средства и его программного обеспечения требованиям защищенности подтверждается:

1) сертификатом, выдаваемым предприятием, имеющим лицензию на этот вид деятельности;

2) по результатам сертификационных испытаний;

3) предписанием на эксплуатацию, оформляемым по результатам специальных исследований и специальных проверок технических средств и программного обеспечения.

Для оценки готовности систем и средств информатизации и связи к обработке (передаче) информации, содержащей сведения, отнесенные к государственной или служебной тайне, проводится аттестование указанных систем и средств в реальных условиях эксплуатации на предмет соответствия принимаемых методов, мер и средств защиты требуемому уровню безопасности информации.

VI. контроль состояния защиты информации

47. Контроль состояния защиты информации (далее именуется – контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений Государственной технической комиссии при Президенте Российской Федерации, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.

48. Контроль организуется Государственной технической комиссией при Президенте Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством внутренних дел Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации и Федеральным агентством правительственной связи и информации при Президенте Российской Федерации, структурными и межотраслевыми подразделениями органов государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

Акты проверок предприятий рассылаются их руководителями в орган, проводивший поверку, и в орган государственной власти по подчиненности предприятия.

49. Государственная техническая комиссия при Президенте Российской Федерации организует контроль силами центрального аппарата и подчиненных ей в специальном отношении Специальных центров. Она может привлекать для этих целей подразделения по защите информации органов государственной власти.

Центральный аппарат Государственной технической комиссией при Президенте Российской Федерации осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю (за исключением объектов и технических средств, защита которых входит в компетенцию Федеральной службой безопасности Российской Федерации, Министерства внутренних дел Российской Федерации, Министерства обороны Российской Федерации, Службы внешней разведки Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации, Главного управления охраны Российской Федерации).

Специальные центры, подчиненные в специальном отношении Государственной технической комиссией при Президенте Российской Федерации, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих центров.

Контроль в органах государственной власти силами центрального аппарата Государственной технической комиссии при Президенте Российской Федерации и специальных центров, подчиненных в специальном отношении Государственной технической комиссии при Президенте Российской Федерации, осуществляется по согласованию с соответствующими органами государственной власти.

50. Органы государственной власти организуют и осуществляют контроль на подчиненных им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.

51. Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесенных к государственной или служебной тайне, осуществляется органами государственной власти, Государственной технической комиссией при Президенте Российской Федерации, Федеральной службой безопасности Российской Федерации, Федеральным агентством правительственной связи и информации при Президенте Российской Федерации и заказчиком работ в соответствии с их компетенцией.

52. Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.

Нарушения по степени важности делятся на три категории:

первая – невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам;

вторая – невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечки по техническим каналам;

третья – невыполнение других требований по защите информации.

53. При обнаружении нарушений первой категории руководители органов государственной власти и предприятий обязаны:

1) немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения и принять меры по их устранению;

2) организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц;

3) сообщить в Государственную техническую комиссию при Президенте Российской Федерации, руководству органа государственной власти, федеральному органу государственной безопасности и заказчику о вскрытых нарушениях и принятых мерах.

Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер, проводимой Государственной технической комиссией при Президенте Российской Федерации или по ее поручению подразделениями по защите информации органов государственной власти.

При обнаружении нарушений второй и третьей категорий руководители проверяемых органов государственной власти и предприятий обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку, или заказчиком (представителем заказчика). Контроль за устранением этих нарушений осуществляется подразделениями по защите информации этих органов государственной власти и предприятий.

54…

Допуск представителей центрального аппарата Государственной технической комиссии при Президенте Российской Федерации, специальных центров, подчиненных ей в специальном отношении, на объекты для проведения контроля состояния защиты информации, доступ к работам и документам, необходимым для проведения контроля, осуществляется в установленном порядке по предъявлении специального удостоверения представителя Государственной технической комиссии при Президенте Российской Федерации и предписания на право проведения проверки данного объекта. Допуск на военные объекты осуществляется по разрешению начальника Генерального штаба Вооруженных сил Российской Федерации.

Предписания на право проверки состояния защиты информации выдаются:

— для объектов органов государственной власти – председателем Государственной технической комиссии при Президенте Российской Федерации (заместителем председателя);

— для предприятий на всей территории Российской Федерации – начальником инспекции Государственной технической комиссии при Президенте Российской Федерации;

— для предприятий в пределах установленных зон ответственности – начальниками специальных центров, подчиненных в специальном отношении Государственной технической комиссии при Президенте Российской Федерации;

— для подведомственных предприятий – руководителями органов государственной власти.

VII. финансирование мероприятий по защите информации

55. Финансирование мероприятий по защите информации, содержащей сведения, отнесенные к государственной или служебной тайне, а также подразделений по защите информации в органах государственной власти и на бюджетных предприятиях предусматривается в сметах расходов на их содержание.

56. Создание технических средств защиты информации, не требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчиком на научно-исследовательские и опытно-конструкторские работы, связанные с разработкой продукции.

Расходы по разработке технических средств защиты информации включаются в стоимость разработки образца продукции.

Создание технических средств защиты информации, требующее капитальных вложений осуществляется в пределах средств, выделяемых заказчиком на строительство (реконструкцию) сооружений или объектов.