госы. ГОСы шпоры. Теория информационной безопасности и методология защиты информации Система обеспечения информационной безопасности в Российской Федерации. 1 Понятие система обеспечения информационной безопасности
 Скачать 2.75 Mb.
|
|
Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите. Элемент включает в себя: - автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности; - программы защиты информации, работающие в комплексе с программами обработки информации; - программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных). Аудит информационной безопасности КИС представляет собой процесс сбора и анализа информации, необходимой для оценки существующего уровня защиты, анализа риска и формулирования требований к системе защиты. Как правило, аудит проводится с целью подготовки технического задания на систему защиты либо после внедрения – для оценки ее эффективности. Аудит осуществляется как сторонними компаниями,работающими в данной области, так и силами своих сотрудников. На данном этапе работ определяются все информационные ресурсы КИС, подлежащие защите, потенциальные угрозы безопасности, строится неформальная модель нарушителя системы защиты. 9. Механизмы защиты государственной тайны. 9.1 Правовой режим государственной тайны в соответствии с требованиями Федерального Закона РФ №5485-1 1993 года «О государственной тайне»: сфера действия Закона, отнесение сведений к государственной тайне и их засекречивание, принципы отнесения, степени секретности и грифы. статья 1. Сфера действия настоящего Закона Вкратце - закон обязателен к исполнению организациями, которые работают с ГосТайной. Статья 6. Принципы отнесения сведений к государственной тайне и засекречивания этих сведений Отнесение сведений к государственной тайне и их засекречивание осуществляется в соответствии с принципами законности, обоснованности и своевременности. Законность отнесения сведений к государственной тайне и их засекречивание заключается в соответствии засекречиваемых сведений положениям статей 5 и 7 настоящего Закона и законодательству Российской Федерации о государственной тайне. Обоснованность отнесения сведений к государственной тайне и их засекречивание заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта исходя из баланса жизненно важных интересов государства, общества и граждан. Своевременность отнесения сведений к государственной тайне и их засекречивание заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно. Статья 8. Степени секретности сведений и грифы секретности носителей этих сведений Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений. Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно". Порядок определения размеров ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения сведений, составляющих государственную тайну, и правила отнесения указанных сведений к той или иной степени секретности устанавливаются Правительством Российской Федерации. Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается. Статья 9. Порядок отнесения сведений к государственной тайне Обоснование необходимости отнесения сведений к государственной тайне в соответствии с принципами засекречивания сведений возлагается на органы государственной власти, предприятия, учреждения и организации, которыми эти сведения получены (разработаны). Отнесение сведений к государственной тайне осуществляется в соответствии с Перечнем сведений, составляющих государственную тайну, определяемым настоящим Законом, руководителями органов государственной власти в соответствии с Перечнем должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, утверждаемым Президентом Российской Федерации. Для осуществления единой государственной политики в области засекречивания сведений межведомственная комиссия по защите государственной тайны формирует Перечень сведений, отнесенных к государственной тайне. В этом Перечне указываются органы государственной власти, наделяемые полномочиями по распоряжению данными сведениями. Указанный Перечень утверждается Президентом Российской Федерации, подлежит открытому опубликованию и пересматривается по мере необходимости. Органами государственной власти, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, в соответствии с Перечнем сведений, отнесенных к государственной тайне, разрабатываются развернутые перечни сведений, подлежащих засекречиванию. В эти перечни включаются сведения, полномочиями по распоряжению которыми наделены указанные органы, и устанавливается степень их секретности. Эти перечни утверждаются соответствующими руководителями органов государственной власти. Перечень - в следующем вопросе. Статья 7. Сведения, не подлежащие отнесению к государственной тайне и засекречиванию Не подлежат отнесению к государственной тайне и засекречиванию сведения: о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях; о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности; о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям; о фактах нарушения прав и свобод человека и гражданина; о размерах золотого запаса и государственных валютных резервах Российской Федерации; о состоянии здоровья высших должностных лиц Российской Федерации; о фактах нарушения законности органами государственной власти и их должностными лицами. 9.2 Перечень сведений, отнесенных к государственной тайне в соответствии с требованиями Указа Президента РФ № 1203 1995 года «Об утверждении Перечня сведений, отнесенных к государственной тайне». Государственную тайну составляют (список не полный, только основные): 1) сведения в военной области: о содержании стратегических и оперативных планов, документов боевого управления по подготовке и проведению операций, стратегическому, оперативному и мобилизационному развертыванию Вооруженных Сил Российской Федерации, других войск, воинских формирований и органов, об их боевой и мобилизационной готовности, о создании и об использовании мобилизационных ресурсов; о планах строительства войск Российской Федерации, о направлениях развития вооружения и военной техники, о содержании и результатах выполнения целевых программ, научно-исследовательских и опытно-конструкторских работ по созданию и модернизации образцов вооружения и военной техники; о разработке, технологии, производстве, об объемах производства, о хранении, об утилизации ядерных боеприпасов, их составных частей, о технических средствах и (или) методах защиты ядерных боеприпасов от несанкционированного применения, а также о ядерных энергетических и специальных физических установках оборонного значения; о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники, о свойствах, рецептурах или технологиях производства новых видов ракетного топлива или взрывчатых веществ военного назначения; о дислокации, назначении, степени готовности, защищенности режимных и особо важных объектов, об их проектировании, строительстве и эксплуатации, а также об отводе земель, недр и акваторий для этих объектов; о дислокации, действительных наименованиях, об организационной структуре, о вооружении, численности войск и состоянии их боевого обеспечения, а также о военно-политической и (или) оперативной обстановке; 2) сведения в области экономики, науки и техники: о содержании планов подготовки Российской Федерации и ее отдельных регионов к возможным военным действиям, о мобилизационных мощностях промышленности по изготовлению и ремонту вооружения и военной техники, об объемах производства, поставок, о запасах стратегических видов сырья и материалов, а также о размещении, фактических размерах и об использовании государственных материальных резервов; об использовании инфраструктуры Российской Федерации в целях обеспечения обороноспособности и безопасности государства; о силах и средствах гражданской обороны, о дислокации, предназначении и степени защищенности объектов административного управления, о степени обеспечения безопасности населения, о функционировании транспорта и связи в Российской Федерации в целях обеспечения безопасности государства; об объемах, о планах (заданиях) государственного оборонного заказа, о выпуске и поставках (в денежном или натуральном выражении) вооружения, военной техники и другой оборонной продукции, о наличии и наращивании мощностей по их выпуску, о связях предприятий по кооперации, о разработчиках или об изготовителях указанных вооружения, военной техники и другой оборонной продукции; о достижениях науки и техники, о научно-исследовательских, об опытно-конструкторских, о проектных работах и технологиях, имеющих важное оборонное или экономическое значение, влияющих на безопасность государства; о запасах платины, металлов платиновой группы, природных алмазов в Государственном фонде драгоценных металлов и драгоценных камней Российской Федерации, Центральном банке Российской Федерации, а также об объемах запасов в недрах, добычи, производства и потребления стратегических видов полезных ископаемых Российской Федерации (по списку, определяемому Правительством Российской Федерации); 3) сведения в области внешней политики и экономики: о внешнеполитической, внешнеэкономической деятельности Российской Федерации, преждевременное распространение которых может нанести ущерб безопасности государства; о финансовой политике в отношении иностранных государств (за исключением обобщенных показателей по внешней задолженности), а также о финансовой или денежно-кредитной деятельности, преждевременное распространение которых может нанести ущерб безопасности государства; 4) сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму: о силах, средствах, об источниках, о методах, планах и результатах разведывательной, контрразведывательной, оперативно-розыскной деятельности и деятельности по противодействию терроризму, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения; о лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими разведывательную, контрразведывательную и оперативно-розыскную деятельность; об организации, о силах, средствах и методах обеспечения безопасности объектов государственной охраны, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения; о системе президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи, о шифрах, о разработке, об изготовлении шифров и обеспечении ими, о методах и средствах анализа шифровальных средств и средств специальной защиты, об информационно-аналитических системах специального назначения; о методах и средствах защиты секретной информации; об организации и о фактическом состоянии защиты государственной тайны; о защите Государственной границы Российской Федерации, исключительной экономической зоны и континентального шельфа Российской Федерации; о расходах федерального бюджета, связанных с обеспечением обороны, безопасности государства и правоохранительной деятельности в Российской Федерации; о подготовке кадров, раскрывающие мероприятия, проводимые в целях обеспечения безопасности государства. о мерах по обеспечению защищенности критически важных объектов и потенциально опасных объектов инфраструктуры Российской Федерации от террористических актов; о результатах финансового мониторинга в отношении организаций и физических лиц, полученных в связи с проверкой их возможной причастности к террористической деятельности. 10. Механизмы защиты, основанные на разделении конфиденциальной информации на виды тайны. 10.1 Понятие «коммерческая тайна». Правовой режим коммерческой тайны и порядок его установления в организации на основе требований Федерального Закона РФ №98-ФЗ 2004 года «О коммерческой тайне»: охрана конфиденциальности информации при осуществлении трудовых отношений, при предоставлении информации, ответственность за нарушения Закона. 1) коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицами; к ней нет свободного доступа на законном основании в отношении тайны обладателем информации введен режим коммерческой тайны. 2) информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны; 3) режим коммерческой тайны - правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности; Ст. 10 – обязательные меры: 1. Перечень информации коммерческой тайны; 2. Ограничение доступа к данной ниформации – установление порядка обращения с данной информацией, контроль данного порядка; 3. Учет лиц, получивших доступ к информации, составляющей коммерческую тайны, учет лиц, которым данная инфомрация была передана по договорам, и предоставлена по мотивированным требованиям. 4. Регулирование отношений по использованию информации, составляющей коммерческую тайну работниками – на основании трудовых договоров, контрагентами – на основании гражданско-правовых документов. 5. Нанесение на материальные носители грифа «коммерческая тайна» с указанием обладателя данной информации. Полное наименование юридического лица, его регистрационное местонахождение. К коммерческой тайне не относится – информация учредительных документов, подтверждающая факт внесения в реестр предприятия, информаия, содержащаяся в документах на право осуществления предпринимательской деятельности, информация о составе имущества государственного и унитарного предприятия, информация об использовании ими средств, соответствующего бюджета, информация о загрязнении окружающей среды и т.д., оказывающие негативное влияние, сведения о численности и составе работников, о системе оплаты труда. Статья 11. Охрана конфиденциальности информации в рамках трудовых отношений 1.В целях охраны конфиденциальности информации работодатель обязан: 1) ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой является работодатель и его контрагенты; 2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение; 3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны. 2. Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями. 3. В целях охраны конфиденциальности информации работник обязан: 1) выполнять установленный работодателем режим коммерческой тайны; 2) не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях; 3) не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и работодателем, заключенным в период срока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось; 4) возместить причиненный работодателю ущерб, если работник виновен в разглашении информации, составляющей коммерческую тайну, ставшей ему известной в связи с исполнением им трудовых обязанностей; 5) передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую коммерческую тайну. 6. Трудовым договором с руководителем организации должны предусматриваться его обязательства по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны ее конфиденциальности. |