Учебно-методическое пособие по курсу «Организационная

CМОЛЕНСКИЙ ГУМАНИТАРНЫЙ УНИВЕРСИТЕТ
Андреева А.В.
Учебно-методическое пособие по курсу
«Организационная защита информации»
Рекомендовано Учебно-методической комиссией
Смоленского гуманитарного университета
в качестве учебного пособия по специальности 090103 «Организация и технология
защиты информации»
Смоленск
2012
ББК 73
А 655
Рецензенты:
В.И. Мунерман, кандидат техн. наук, доцент, доцент СмолГУ.
Н.А. Максимова, кандидат пед. наук, доцент, доцент СГУ
Печатается по решению Редакционно-издательского совета
Смоленского гуманитарного университета
А 655 Андреева А.В.
Учебно-методическое пособие по курсу «Организационная защита информации».
– Смоленск: «Универсум», 2012. – 346 с.
ISBN 978-5-9904057-2-1
Представлены
материалы,
посвященные
основным
вопросам
курса
организационной защиты информации. Учебно-методическое пособие содержит указания
для подготовки к семинарским занятиям, тест для подготовки к экзамену по дисциплине.
Методическое пособие ориентировано на студентов СГУ, обучающихся по всем
направлению «Информационная безопасность» и специальности «Организация и
технология защиты информации» изучающих курс организационной защиты информации.
ББК 73
А 655
© Андреева 2012
© Смоленский гуманитарный университет, 2012
© Оформление ООО «Универсум», 2012
2
ТЕМА 1. Основы обеспечения информационной безопасности
1. Современная постановка проблемы защиты информации. Понятие
«информационная безопасность»
Господствовавшее до недавнего времени представление о защите
информации как о предупреждении несанкционированного ее получения
(сохранении тайны) является чрезмерно узким. Более того, само понятие
«тайна» до недавнего времени ассоциировалось преимущественно с
государственными секретами, в то время как в современных условиях
повсеместное
распространение
получают
понятия
промышленная,
коммерческая, банковская, личная и другие тайны.
Рисунок 1.1. Структура информационной безопасности
3
В действующих законодательных актах Российской Федерации (РФ)
встречаются понятия более чем 40 видов тайн. Таким образом, даже в рамках
традиционного представления о защите информации ее содержание должно
быть существенно расширено.
Исходя из этого, в последнее время проблема защиты информации
рассматривается
как
проблема
информационной
безопасности
—
неотъемлемой составной части национальной (безопасности Российской
Федерации. Это ясно определяется Концепцией национальной безопасности
Российской Федерации, утвержденной Указом Президента Российской
Федерации от 17. 12.1997 г. № 1300 (последняя редакция — январь 2000 г.) и
Доктриной информационной безопасности РФ, принятой и в сентябре 2000 г.
Здесь система национальных интересов России определяется совокупностью
основных интересов личности, общества и государства.
Информационная безопасность Российской Федерации определяется
в Доктрине как состояние защищенности ее национальных интересов в
информационной сфере, определяющихся совокупностью сбалансированных
интересов личности, общества и государства.
Интересы личности в информационной сфере заключаются в
реализации конституционных прав человека и гражданина на доступ к
информации, использовании ее в интересах осуществления не запрещенной
законом
деятельности,
физического,
духовного
и
интеллектуального
развития, а также в защите информации, обеспечивающей личную
безопасность.
Интересы общества в информационной сфере заключаются в
обеспечении интересов личности в этой сфере, упрочении демократии,
создании правового социального государства, достижении и поддержании
общественного согласия.
Интересы государства
заключаются в создании
условий
для
гармоничного развития российской информационной инфраструктуры, для
реализации конституционных прав и свобод граждан в области получения
4
информации и пользования ею и целях обеспечения незыблемости
конституционного строя, суверенитета и территориальной целостности;
защиты информационных ресурсов государства от несанкционированного
доступа;
обеспечения
безопасности
информационных
и
телекоммуникационных систем России.
В Доктрине особо подчеркивается, что обеспечение информационной
безопасности самым теснейшим образом связано не только с решением
научно-технических задач, но и с вопросами правового регулирования
отношений информатизации, развитием законодательной базы.
К одному из направлений системы информационной безопасности
можно отнести «защиту государственной тайны и конфиденциальных
сведений,
обеспечивающую
главным
образом
невозможность
несанкционированного доступа к этим сведениям, в каком бы виде они ни
были представлены». При этом под конфиденциальными сведениями
понимаются
государственная
тайна,
конфиденциальные
сведения
общественного характера (коммерческая тайна, партийная тайна и т. д.), а
также личная конфиденциальная информация (персональные данные,
интеллектуальная собственность и т. д.). Для обеспечения их защиты
существует достаточно хорошо развитая система защиты информации.
Составными частями ее являются:
—
функции
подсистема обеспечения режима секретности, выполняющая
разграничения
определения
порядка
допуска
проведения
лиц
к
государственным
секретных
работ
и
секретам,
обращения
с
секретными документами и изделиями, а также контроля за соблюдением
этого порядка;
—
подсистема
передаваемых
по
обеспечения
телекоммуникационной
криптографической
системе
защиты
конфиденциальных
сведений и решения вопросов безопасности шифрованной связи;
5
—
подсистема противодействия техническим средствам разведки,
обеспечивающая защиту конфиденциальной информации от ее утечки по
техническим каналам.
2. Понятие «информационная безопасность
Однако в последнее время проблема информационной безопасности
рассматривается
шире.
Оказалось,
что
современные
технические,
технологические и организационные системы, а также люди, коллективы
людей и общество в целом сильно подвержены внешним информационным
воздействиям, причем последствия негативного воздействия могут носить не
просто тяжелый, а трагический характер. Проиллюстрируем сказанное
несколькими примерами.
Управление вооруженными силами и комплексами оружия (включая и
ракетно-ядерное)
в
настоящее
время
практически
полностью
автоматизировано. Но, как известно, средства этой техники подвержены
значительным
внешним
информационным
воздействиям:
например,
программные закладки в команде извне могут привести систему управления
в действие или вывести из строя. В печати было сообщение о том,
американцам удалось заразить вирусом компьютерные системы управления
ПВО Ирака, что сыграло важную роль в операции «Буря в пустыне». Эти
методы ведения войны усовершенствованы и использованы войсками НАТО
при ведении боевых действий в Югославии, Афганистане и Ираке (в 2003
г.). Так, использование вооруженными силами США электромагнитной
бомбы в Багдаде позволило вывести из строя значительную часть
технических средств АСУ войсками Ирака.
Для принятия важных государственных решений по управлению
государством для президента и правительства со функционирует система
сбора и анализа информации об экономической и политической ситуации в
стране. Нетрудно представить, к чему может привести искажение таких
сведений путем внешнего навязывания ложной информации.
6
О6щеизвестно, что целенаправленной подтасовкой фактов умелым
методическим преподнесением их средствами массовой информации можно
сформировать достаточно устойчивое общественное мнение требуемого
содержания.
Тeopeтически
доказано,
а
практикой
многократно
подтверждено, что психика и мышление человека настолько подвержены
внешним
информационным
воздействиям,
что
при
надлежащем
организованном влиянии можно запрограммировать его поведение. Более
того,
в
последнее
время
ведутся
разработки
методов
и
средств
компьютерного проникновения в подсознание человека, чтобы оказывать на
него глубокое воздействие.
Примером сказанного может служить факт массового нарушения
психики японских детей после просмотра по телевидению компьютерного
мультсериала в 1997 г. Другим примером является не так давно широко
обсуждаемый опыт американских специалистов, передававших по местному
телевидению через 25-й кадр, не воспринимаемый глазом человека, но
влияющий на его психику, рекламу продукции компании «Кока-колы».
Результат был ошеломляющий. Реализация этой продукции резко возросла.
Возможности влияния электромагнитных, акустических и других полей
на психику человека заложены в действие так называемого психотронного
оружия. Созданию подобных устройств уделяют огромное внимание
ведущие страны мира. Демонстрация действия такой техники проводилась в
1998 г. в учебном центре Сухопутных войск США (Форт-Полк, штат
Луизиана). Современная наука предлагает очень широкий спектр способов
управления поведением, мыслями и чувствами человека (или группы людей).
Самый
простой
—
аудиовизуальное
раздражение.
Очень
слабые
нижнепороговые раздражители не воспринимаются сознанием, глубоко
внедряясь в подсознание. Они незаметно ориентируют мышление и
поведение человека в заданном направлении. Удобнее всего внедряться через
слуховой и зрительный каналы. Например, на приятную для объекта
мелодию посредством микшера накладывается повторяющийся словесный
7
текст рабочего внушения, замедленный в 10-15 раз. Транслируемые таким
образом слова воспринимаются как глухой вой и после наложения становятся
совершенно
незаметными.
гражданам
информацию
Таким
способом
посредством
удобнее
радио.
При
всего
внушать
видеостимуляции
(воздействии через зрительные каналы) в запись видеофильма, например,
вклинивают очень короткие (0,04 с) врезки картинок внушаемого текста или
образа, повторяемые каждые 5 с. Техника изготовления кассеты несложная,
набор видеооборудования минимален.
Тепловые или механические воздействия упругих колебаний свыше
100 Гц (ультразвук) как таковые человек ощутить не и состоянии. Между тем
колебания влияют на мыслительные структуры и нервную систему, вызывая
головную
боль,
головокружение,
конвульсии,
вплоть
до
воздействий
несложные.
расстройство
отключения
Специальное
сознания.
зрения
Приборы
медицинское
и
дыхания,
для
таких
оборудование
и
подготовленный персонал требуются лишь в том случае, если необходимо
осуществить
«прокалывание»
избранных
участков
мозга
хорошо
сфокусированным ультразвуком для необратимого изъятия из памяти
нежелательных воспоминаний.
Инфразвук — это, наоборот, очень низкие частоты, ниже 16 Гц.
Инфразвук малой интенсивности (примерно 120 дБ) вызывает тошноту, звон
в ушах, ухудшение зрения, безотчетный страх. Звук средней интенсивности
(до 130 дБ) расстраивает органы пищеварения и мозг, порождая паралич, а
иногда слепоту. Воздействие же инфразвука интенсивностью 130 дБ и выше
может вызвать остановку сердца.
Еще
более
современная
методика
—
использование
сверх-
высокочастотного излучения. Под воздействием СВЧ-излучения возникают
нарушения восприятия реальности, усталость, тошнота, головная боль. СВЧизлучение позволяет полностью стерилизовать инстинктивную сферу,
вызывает повреждения сердца, мозга и центральной нервной системы. СВЧизлучения внедряют информацию прямо в мозг, в их полях заметно
8
ускоряется любая психообработка подсознания. В качестве антенных
передатчиков таких волн можно использовать телефонные провода, трубы,
телевизор.
Приведенные примеры показывают, что остроактуальной является
проблема не только защиты информации, но и защиты от информации,
которая в последнее время приобретает международный масштаб и
стратегический характер. Развитие стратегических вооружений идет такими
темпами,
что
вооруженное
решение
мировых
проблем
становится
невозможным. Вместо понятия «вооруженная борьба» все более прочно
входят в обиход понятия «информационная война» и «информационное
оружие». При этом выделяют три основных направления информационного
воздействия этого оружия: на технические системы и средства, общественное
сознание и психику человека.
Естественной является попытка ведущих стран реализовать свое
информационное превосходство в той или иной сфере противостояния
государств путем установления глобального информационного контроля над
мировым сообществом и навязать свои правила жизни. Указанные
обстоятельства
привели
к
новому
противостояния,
получившего
название
типу
межгосударственного
«информационная
война»
и
обладающего всеми сокрушительными признаками известных до сих пор
типов войн.
Факт подготовки информационной войны не скрывается от мировой
общественности США и другими ведущими индустриальными державами,
что само является элементом информационного
противостояния. За
последние 15 лет расходы на приобретение средств информационной борьбы
увеличились в США в четыре раза и ныне занимают первое место среди всех
программ вооружений Соединенных Штатов.
Вот одно из ее определений, взятое из проекта Устава МО США:
«Информационная война — действия, предпринимаемые для достижения
информационного
превосходства
в интересах
национальной
военной
9
стратегии,
осуществляемые
информационные
системы
путем
влияния
противника
при
на
информацию
одновременной
и
защите
собственной информации своих информационных систем».
Таким
образом,
информационная
безопасность
определяется
способностью государства, общества, личности:
-противостоять информационным опасностям и угроз негативным
информационным
воздействиям
на
индивидуальное
и
общественное
сознание и психику людей, а также на компьютерные сети и другие
технические источники информации;
-вырабатывать личностные и групповые навыки и умения безопасного
поведения;
-поддерживать постоянную готовность к адекватным мерам и
информационном противоборстве, кем бы оно ни было навязано.
3. Понятия «информация», ее «источники и носители». Виды
представления информации
Составной частью любой области науки, в том числе развивающихся
теоретических
основ
комплексной
защиты
информации,
являются
определенные понятия. Естественно, что одним из основных понятий в этой
предметной области является «информация», которая может быть отнесена к
абстрактным категориям и первичным понятиям, а по форме проявления
является материально-энергетической категорией.
Существует множество определений понятия «информация»: от
наиболее общего, философского (информация есть отражение материального
мира), до наиболее узкого, практического (информация есть все сведения,
являющиеся объектом хранения, передачи и преобразования).
В
связи
с
развитием
средств
связи
и
телекоммуникаций,
вычислительной техники и их использованием для обработки и передачи
информации
возникла
характеристики.
вероятностные
К.
необходимость
Шенноном
методы
для
и
У.
измерять
Уивером
определения
ее
количественные
были
количества
предложены
передаваемой
10
информации. Под информацией стали понимать уже не просто сведения, а
только те из них, которые являются новыми и полезными для принятия
решения, обеспечивающего достижение цели управления.
Информация — это сведения о предметах, объектах, явлениях,
процессах (независимо от формы их представления), отображаемые в
сознании человека или на каком-либо носителе для последующего
восприятия их человеком.
Использование этого термина обычно предполагает возникновение
материально-энергетического сигнала, воспринимаемого сенсорно или на
приборном уровне. Существование такого сигнала предполагает наличие
носителя информации. При организации защиты засекреченной информации
постоянно обращается внимание на необходимость защиты носителей
секретной и конфиденциальной информации, а так как такая информация
неотрывна от них, она не может существовать помимо носителя. И только
получая доступ к носителю, злоумышленник может добыть интересующую
(и
защищаемую
собственником)
информацию.
При
этом
носитель
информации становится источником ее для этого злоумышленника.
Очевидно, что под понятием «источник» понимается какой- то объект,
обладающий определенной информацией, к которой получили доступ
одноразово или многократно интересующиеся ею лица. Источник связан с
каким-то получателем (субъектом), имеющим ту или иную возможность
доступа к информации. Источник в этой паре выступает как бы пассив-поп
стропой, а получатель-субъект — активной.
4. Информация как объект защиты
Основная цель защиты информации в конечном счете сводится к тому,
чтобы не позволить сопернику получить доступ к охраняемому носителю
информации.
Однако в деятельности по защите информации постоянно возникают
ситуации, когда на носители информации не «повесишь замок», не закроешь
их в сейф, особенно в процессе их использования, а также когда ими
11
являются люди, служащие «продуктом» деятельности технических систем,
каналов связи, излучением слаботочных приборов и т. д. Поэтому все эти
носители являются потенциальными источниками информации. К ним-то и
стремится
получить
доступ
соперник,
прокладывающий
пути
к
интересующей его информации.
Таким образом, с точки зрения обеспечения информационной
безопасности под понятием «носитель» необходимо понимать какой-то
объект, обладающий определенной информацией, которую можно получить
(получать) одноразово или многократно интересующимися ею лицами.
Носитель связан с каким-то получателем (субъектом), имеющим ту или иную
возможность
доступа
к
информации.
Тогда
под
носителем
конфиденциальной информации будем понимать объект, обладающий
определенными охраняемыми сведениями, представляющий интерес для
злоумышленников. Рассматривая информацию с точки зрения отображения
ее на каких-то или в каких-то материальных (физических) объектах, которые
длительное время могут сохранять ее в относительно неизменном виде или
переносить из одного места в другое, носителей защищаемой информации
можно классифицировать следующим образом:
-материально-вещественные носители (документы, книги, изделия,
вещества и материалы);
-излучения и поля (электромагнитные, тепловые, радиационные и
другие излучения, гидроакустические, сейсмические и другие поля);
-человек.
Для того чтобы в процессе деятельности информация эффективно
выполняла свою роль, необходимо уметь оценивать значимость ее для
эффективности соответствующей деятельности, имея в виду при этом, что в
условиях информационного общества она является объектом и продуктом
труда.
12
Pиcунок 1.2. Формирование информационных ресурсов ООИ для
решения задач
Имеющаяся на объекте информация И1 (преобразующаяся в процессе
ее обработки в другой вид И2) и ИЗ используется объектом для решения
какой-либо задачи. Очевидно, что для полной оценки используемой
информации важно знать, во-первых: в каком виде она представлена и, вовторых, в какой степени она позволит решить указанную задачу. Например,
одними
из
задач
действующей
в
рамках
информационно-
телекоммуникационной системы специального назначения (ИТКС СН)
информационно-аналитической подсистемы являются оперативный сбор,
обработка и передача в центральные органы государственной власти
сведений о различных направлениях развития регионов. Для выполнения
этой задачи важно знать в требуемый момент времени насколько полна и
адекватна имеющаяся информация, а также в каком виде она представлена
(бумажном или электронном — последнее существенно сократит время
доставки).
Таким образом, для оценки информации необходимы показатели двух
видов:
1)
характеризующие информацию как объект труда в процессе
информационного обеспечения решаемых задач;
2)
характеризующие информацию как обеспечивающий ресурс в
процессе решения различных задач.
13
Показатели первого вида должны характеризовать информацию как
объект труда, над которым осуществляются некоторые процедуры в процессе
переработки ее с целью информационного обеспечения решаемых задач. Для
ОИ эти показатели имеют большое значение по двум причинам,
определяющим основные виды характеристик данного вида показателей.
1. В рассматриваемых системах информационные сообщения проходят
множество этапов обработки: представление информации в символьном виде
(различными формами электрических сигналов), преобразование сигналов
(аналоговых в дискретную форму), шифрование данных и все обратные
преобразования. Следовательно, в качестве основной характеристики
информации может выступать способ ее преобразования.
2. На всех участках технологических маршрутов обработки имеются
потенциальные
возможности
дестабилизирующих
для
факторов,
проявления
которые
могут
большого
количества
оказать
негативное
воздействие на информацию. Поэтому важной характеристикой должна быть
степень защищенности информации
от воздействия дестабилизирующих
факторов.
Показатели
второго
вида
носят
прагматический
характер,
их
содержание определяется ролью, значимостью, важностью информации в
процессе решения задач, а также количеством и содержанием информации,
имеющейся в момент решения соответствующей задачи. Причем здесь важно
не просто количество сведений в абсолютном выражении, а достаточность
(полнота) их для информационного обеспечения решаемых задач и
адекватность, то есть соответствие текущему состоянию тех объектов или
процессов, к которым относится оцениваемая информация. Кроме того,
важное значение имеет чистота информации, то есть отсутствие среди
необходимых сведений ненужных данных или шумов. Наконец, для
эффективности решения задач немаловажное значение имеет форма
представления информации с точки зрения удобства восприятия и
14
использования ее в процессе решения задач. Таким образом, ко второму виду
показателей можно отнести следующие.
1.
Важность
информации.
Это
обобщенный
показатель,
характеризующий значимость информации сточки зрения тех задач, для
решения которых она используется. При этом необходимо определять как
важность самих задач для обеспечиваемой деятельности, так и степень
важности информации для эффективного решения соответствующей задачи.
Для количественной оценки важности информации используют два
критерия: уровень потерь в случае нежелательных и изменений информации
в процессе обработки под воздействие дестабилизирующих факторов и
уровень затрат на восстановление нарушенной информации.
Для
информации,
обрабатываемой
и
передаваемой
в
системе
правительственной связи, существуют следующие категории важности:
особой важности, совершенно секретно, секретно, конфиденциально, —
характеризуемые размером ущерба для страны.
2. Полнота информации. Это показатель, характеризующий
меру
достаточности информации для решения соответствующих задач. Полнота
информации оценивается относительно вполне определенной задачи или
группы задач. Поэтому, чтобы иметь возможность определять показатель
полноты информации, необходимо для каждой задачи или группы задач
заблаговременно составить перечень сведений, которые необходимы для их
решения.
3. Адекватность
информации. Под адекватностью информации
понимается степень соответствия действительному состоянию тех реалий,
которые отображает оцениваемая информация. В общем случае адекватность
определяется
двумя
параметрами:
объективностью
генерирования
информации о предмете, процессе или явлении и продолжительностью
интервала времени между моментом генерирования информации и текущим
моментом, то есть до момента оценивания ее адекватности.
15
Для оценки адекватности по второму параметру вполне подходящим
является известный в теории информации так называемый закон старения
информации.
Рассматриваемый показатель широко применяется в криптографии при
оценке стойкости шифрования передаваемой информации. Например,
аппаратура шифрования является аппаратурой гарантированной стойкости,
если период времени до расшифрования противником перехваченного
сообщения составляет такую величину, что к этому моменту значимость
информации в результате ее старения близка к нулю, то есть близок к нулю и
коэффициент адекватности.
4. Релевантность информации. Релевантность есть такой показатель
информации,
который
характеризует
соответствие
ее
потребностям
решаемой задачи. Для количественного выражения данного показателя
обычно
используют
так
называемый
коэффициент
релевантности,
определяющий отношение объема релевантной информации к общему
объему
анализируемой
использования
данного
информации.
коэффициента
Трудности
сопряжены
с
практического
количественным
выражением объема информации.
Существует множество подходов в определении понятия «количество
информации». Например, в сфере документооборота под этим понимается
количество
обрабатываемых
документов.
В
сфере
информационной
обработки сигналов это понятие связано с понятием «энтропия».
5. Толерантность информации. Это показатель, характеризующий
удобство восприятия и использования информации в процессе решения
задачи. Данное понятие является очень широким, в значительной мере
неопределенным и субьектвным. Так, для системы телефонной связи оно
может характеризовать разборчивость речевых сообщений, передаваемых по
каналам связи.
16
Показатели первого и второго видов находятся в неразрывной связи.
Так, с точки зрения обеспечения информационной безопасности объекта
уровень важности информации определяет и требуемую степень ее защиты.
Проведение
оценки
качества
информации
по
рассмотренным
показателям позволяет проанализировать ее потенциальную ценность и
исходя из этого определить необходимые меры защиты, то есть сделать
информацию защищаемой.
5. Классификация и содержание возможных угроз информации
Вернемся
к рассмотренному выше понятию «информационная
безопасность» (ИБ) как состояние защищенности потребности личности,
общества и государства в информации, при котором обеспечиваются их
существование и прогрессивное развитие независимо от наличия внутренних
и внешних информационных угроз.
Тогда с позиции обеспечения ИБ можно определить, что под
информационной угрозой понимается воздействие дестабилизирующих
факторов на состояние информированности, подвергающее опасности
жизненно важные интересы личности, общества и государства.
В законе РФ «О безопасности» дано определение угрозы безопасности
как совокупности условий, факторов, создающих опасность жизненно
важным интересам личности, общества и государства.
Под угрозой информации в системах ее обработки понимается
возможность
возникновения
на каком-либо этапе жизнедеятельности
системы такого явления или события, следствием которого могут быть
нежелательные воздействия на информацию.
К настоящему времени известно большое количество разноплановых
угроз различного происхождения, таящих в себе различную опасность для
информации. Для системного представления их удобно классифицировать по
виду, возможным источникам, предпосылкам появления и характеру
проявления.
1. Виды угроз
17
Определив понятие «угроза государству, обществу и личности» в
широком
смысле,
рассмотрим
его
относительно
непосредственного
воздействия на конфиденциальную информацию, обрабатываемую на какомлибо объекте (кабинете, предприятии, фирме). Анализируя возможные пути
воздействия
на
информацию,
представляемую
как
совокупность
n
информационных элементов, связанных между собой логическими связями
(рис. 1.3), можно выделить основные нарушения:
—
физической целостности (уничтожение, разрушение элементов);
—
логической целостности (разрушение логических связей);
—
содержания
(изменение
блоков
информации,
внешнее
навязывание ложной информации);
—
конфиденциальности (разрушение защиты, уменьшение степени
защищенности информации);
—
прав собственности на информацию (несанкционированное
копирование, использование).
Рисунок 1.3. Возможные пути воздействия на информацию
С учетом этого для таких объектов систем угроза информационной
безопасности представляет реальные или потенциально возможные действия
или условия, приводящие к овладению конфиденциальной информацией,
хищению, искажению, изменению, уничтожению ее и сведений о самой
системе, а также к прямым материальным убыткам. Обобщая рассмотренные
угрозы, можно выделить три наиболее выраженные для систем обработки
информации:
18
1)
подверженность физическому искажению или уничтожению;
2)
возможность
несанкционированной
(случайной
или
(случайного
или
злоумышленной) модификации;
3)
опасность
несанкционированного
преднамеренного) получения информации лицами, для которых она не
предназначалась.
Кроме того, с точки зрения анализа процесса обработки информации
выделяют такую угрозу, как блокирование доступа к обрабатываемой
информации.
2. Характер происхождения угроз
Угрозы безопасности информации в современных системах ее
обработки
определяются
умышленными
(преднамеренные
угрозы)
и
естественными (непреднамеренные угрозы) разрушающими и искажающими
воздействиями внешней среды, надежностью функционирования средств
обработки информации, а также преднамеренным корыстным воздействием
несанкционированных пользователей, целями которых являются хищение,
уничтожение,
разрушение,
несанкционированная
модификация
и
использование обрабатываемой информации. При этом под умышленными,
или преднамеренными, понимаются такие угрозы, которые обусловливаются
злоумышленными действиями людей.
Случайными, или естественными, являются угрозы, не зависящие от
воли людей. В настоящее время принята следующая классификация угроз
сохранности (целостности) информации (рис. 1.4).
19
Рисунок 1.4. Классификация угроз целостности информации
3. Источники угроз
Под источником угроз понимается непосредственный исполнитель
угрозы с точки зрения ее негативного воздействия на информацию.
Источники можно разделить на следующие группы:
—
люди;
—
технические устройства;
—
модели, алгоритмы, программы;
—
технологические схемы обработки;
—
внешняя среда.
4. Предпосылки появления угроз
Существуют следующие предпосылки, или причины, появления угроз:
—
объективные (количественная или качественная недостаточность
элементов системы) — не связанные непосредственно с деятельностью
людей и вызывающие случайные по характеру происхождения угрозы;
—
субъективные — непосредственно связанные с деятельностью
человека и вызывающие как преднамеренные (деятельность разведок
иностранных государств, промышленный шпионаж, деятельность уголовных
элементов и недобросовестных сотрудников), так и непреднамеренные
20
(плохое психофизиологическое состояние, недостаточная подготовка, низкий
уровень знаний) угрозы информации.
Взаимодействие угроз можно представить на рис. 1.5.
Рисунок 1.5. Взаимодействие параметров угроз информации
Перечисленные
разновидности
предпосылок
интерпретируются
следующим образом:
— количественная недостаточность — физическая нехватка одного
или нескольких элементов системы обработки, вызывающая нарушения
технологического
процесса
обработки
или
перегрузку
имеющихся
элементов;
— качественная недостаточность — несовершенство конструкции
(организации) элементов системы, в силу чего может появляться
возможность случайного или преднамеренного негативного воздействия на
обрабатываемую или хранимую информацию;
—
деятельность
разведорганов
иностранных
государств
-
специально организуемая деятельность государственных органов разведки,
21
профессионально ориентированных на добывание необходимой информации
всеми доступными способами и средствами;
—
промышленный
отечественных
и
направленная
на
шпионаж:
зарубежных
получение
—
негласная
промышленных
незаконным
деятельность
организаций
путем
(фирм),
конфиденциальной
информации, используемой для достижения промышленных, коммерческих,
политических или подрывных целей;
—
злоумышленные действия уголовных элементов — хищение
информации, средств ее обработки или компьютерных программ в целях
наживы или их разрушение в интересах конкурентов;
—
плохое психофизиологическое состояние — постоянное или
временное психофизиологическое состояние сотрудников приводящее при
определенных нестандартных внешних воздействиях к увеличению ошибок и
сбоев в обслуживании систем обработки информации или непосредственно к
разглашению конфиденциальной информации;
—
недостаточная качественная подготовка сотрудников — уровень
теоретической и практической подготовки персонала к выполнению задач по
защите информации недостаточная степень которого может привести к
нарушению процесса функционирования системы защиты информации.
В современной литературе и нормативно-правовых актах в области
информационной безопасности можно встретить такую классификацию
угроз информации, которая делит их на внутренние и внешние.
Одной из наиболее принципиальных особенностей проблемы защиты
информации является формирование полного множества угроз информации,
потенциально возможных на объекте ее обработки. В самом деле, даже одна
неучтенная угроза может в значительной мере снизить эффективность
защиты.
6. Возможные пути получения конфиденциальной информации
Анализ рассмотренных видов угроз позволяет сгруппировать их по
двум основным областям:
22
1)
угрозы нарушения физической и логической целостности, а
также содержания информации (несанкционированная модификация). Их
можно объединить в причины нарушения целостности информации (ПНЦИ);
2)
угрозы, следствием которых может быть получение защищаемой
информации (хищение или копирование) лицами, не имеющими на это
полномочий, — в каналы несанкционированного получения информации
(КНПИ).
Рассмотрим относительно полное множество КНПИ, сформированное
на основе такого показателя, как степень взаимодействия злоумышленника с
элементами объекта обработки и самой информацией. В соответствии с этим
показателем КНПИ делятся на следующие классы (рис. 1.6):
1)
от источника информации при несанкционированном доступе
(НСД) к нему;
2)
со средств обработки информации при НСД к ним;
3)
от источника информации без НСД к нему;
4)
со средств обработки информации без НСД к ним.
Рисунок 1.6. Классификация КНПИ
К первому классу КНПИ относятся:
1)
хищение носителей информации;
2)
копирование
информации
с
носителей
(материально-
вещественных, магнитных и т. д.);
23
3)
подслушивание разговоров (в том числе аудиозапись);
4)
установка закладных устройств в помещение и съем информации
с их помощью;
5)
выведывание
информации
обслуживающего
персонала
на
объекте;
6)
фотографирование или видеосъемка носителей информации
внутри помещения.
Ко второму классу КНПИ относятся:
1)
снятие информации с устройств электронной памяти;
2)
установка закладных устройств в СОИ;
3)
ввод программных продуктов, позволяющих злоумышленнику
получать информацию;
4)
копирование информации с технических устройств отображения
(фотографирование с мониторов и др.).
Третий класс КНПИ составляют:
1)
получение информации по акустическим каналам (в системах
вентиляции,
теплоснабжения,
а
также
с
помощью
направленных
микрофонов);
2)
получение информации по виброакустическим каналам (с
использованием акустических датчиков, лазерных устройств);
3)
использование
технических
средств
оптической
разведки
(биноклей, подзорных труб и т. д.);
4)
использование
технических
средств
оптико-электронной
разведки (внешних телекамер, приборов ночного видения и т. д.);
5)
осмотр отходов и мусора;
6)
выведывание информации у обслуживающего персонала за
пределами объекта;
7)
изучение выходящей за пределы объекта открытой информации
(публикаций, рекламных проспектов и т. д.).
К четвертому классу относятся следующие КНПИ:
24
1)
электромагнитные излучения СОИ (ПЭМИ, паразитная операция
усилительных
каскадов,
паразитная
модуляция
высокочастотных
генераторов низкочастотным сигналом, содержащим конфиденциальную
информацию);
2)
электромагнитные излучения линий связи;
3)
подключения к линиям связи;
4)
снятие наводок электрических сигналов с линий связи;
5)
снятие наводок с системы питания;
6)
снятие наводок с системы заземления;
7)
снятие наводок с системы теплоснабжения;
8)
использование высокочастотного навязывания;
9)
снятие с линий, выходящих за пределы объекта, сигналов,
образованных на технических средствах за счет акустоэлектрических
преобразований;
10)
снятие излучений оптоволоконных линий связи;
11)
подключение к базам данных и ПЭВМ по компьютер ным сетям.
Под действием рассмотренных выше угроз может произойти утечка
защищаемой информации, то есть несанкционированное, неправомерное
завладение соперником данной информацией и возможность использования
ее в своих, в ущерб интересам собственника (владельца) информации, целях.
При этом образуется канал утечки информации, под которым понимается
физический
путь
от
источника
конфиденциальной
информации
к
злоумышленнику. Для его возникновения необходимы определенные
пространственные,
энергетические
и
временные
условия,
а
также
соответствующие средства восприятия и фиксации информации на стороне
злоумышленника.
В зависимости от используемых соперником сил и средств для
получения
несанкционированного
доступа
к
носителям
защищаемой
информации различают каналы агентурные, технические, легальные.
25
Агентурные каналы утечки информации — это использование
противником тайных агентов для получения несанкционированного доступа
к носителям защищаемой информации. В случае использования агентами
технических средств разведки (направленных микрофонов, закладных
устройств, миниатюрных видеокамер и др.) говорят о ведении агентурнотехнической разведки.
Технические
каналы
утечки
информации
—
совокупность
технических средств разведки, демаскирующих признаков объекта защиты и
сигналов, несущих информацию об этих признаках. Эти каналы образуются
без участия человека в процессе обработки информации техническими
средствами, а поэтому являются одними из наиболее опасных и требуют
отдельного рассмотрения.
Легальные каналы утечки информации — это использование
соперником открытых источников информации (литературы, периодических
изданий и т. п.), обратный инжиниринг, выведывание под благовидным
предлогом
информации
у
располагающих
интересующей
соперника
положен
показатель,
информацией, и других возможностей.
В
основу
классификации
ПНЦИ
характеризующий степень участия в этом процессе человека. В соответствии
с таким подходом ПНЦИ делятся на два вида (объективные и субъективные)
и на следующие классы (рис. 1.7].
Рисунок 1.7. Классификация ПНЦИ
1.1.
Субъективные преднамеренные.
1.1.1. Диверсия
(организация
пожаров,
взрывов,
повреждение
электропитания и др.).
26
1.1.2. Непосредственные действия над носителем (хищение, подмена
носителей, уничтожение информации).
1.1.3. Информационное воздействие (электромагнитное облучение,
ввод в компьютерные системы разрушающих программных средств,
воздействие на психику личности психотропным оружием).
1.2.
Субъективные непреднамеренные.
1.2.1. Отказы обслуживающего персонала (гибель, длительный выход
из строя).
1.2.2. Сбои людей (временный выход из строя).
1.2.3. Ошибки людей.
2.1. Объективные непреднамеренные.
2.1.1. Отказы (полный выход из строя) аппаратуры, программ, систем
питания и жизнеобеспечения.
2.1.2. Сбои (кратковременный выход из строя) аппаратуры, программ,
систем питания и жизнеобеспечения.
2.1.3. Стихийные бедствия (наводнения, землетрясения, ураганы).
2.1.4. Несчастные случаи (пожары, взрывы, аварии).
2.1.5. Электромагнитная несовместимость.
Для
предотвращения
возможной
утечки
конфиденциальной
информации и нарушения ее целостности на объектах ее обработки
разрабатывается и внедряется система защиты информации.
Система защиты информации — совокупность взаимосвязанных
средств, методов и мероприятий, направленных на предотвращение
уничтожения,
искажения,
конфиденциальных
сведений,
несанкционированного
отображенных
физическими
получения
полями,
электромагнитными, световыми и звуковыми волнами или вещественноматериальными носителями в виде сигналов, образов, символов, технических
решений и процессов.
27
ТЕМА 2. Задачи, методы и средства обеспечения
информационной безопасности
1. Цели и задачи обеспечения информационной безопасности
Класс задач — однородное в функциональном отношении множество
задач, обеспечивающих полную или частичную реализацию одной или
нескольких целей.
Учитывая, что основной целью обеспечения информационной безопасности
является
обеспечение
информационного
защиты
воздействия,
системы
а
также
от
обнаружения
содержание
и
от
информации,
выделяются задачи соответствующих видов
ЦЕЛИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Обеспечение
Обеспечение
Обеспечение защиты
защиты системы
защиты содержания
системы от информаот обнаружения
информации
ционного воздействия
.
КЛАССЫ ЗАДАЧ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1.1. Скрытие
2.1. Введение избыточности
3.1. Защита от
воздействия на
технические
1.2. Дезинформация
2.2. Резервирование элементов средства
3.2. Защита от
воздействия на
общество
1.3. Легендирование 2.3. Регулирование доступа
3.3. Защита от
воздействия на
человека.
2.4. Регулирование
2.5. Маскировка
2.6. Регистрация
2.7. Уничтожение
2.8. Сигнализация
2.9. Оценка
2.10. Реагирование
Рисунок 2.1. Классификация задач обеспечения информационной
безопасности
Одними из первичных целей противника являются обнаружение
объекта, обрабатывающего конфиденциальную информацию, и выявление
28
сведений о его предназначении. Поэтому к первому виду задач можно
отнести задачи уменьшения степени распознавания объектов. К этому виду
относятся следующие классы задач.
Класс 1.1. Скрытие сведений о средствах, комплексах, объектах и
системах обработки информации. Эти задачи могут подразделяться на
технические и организационные.
Организационные задачи по скрытию информации об объектах
ориентированы на недопущение разглашения этих сведений сотрудниками и
утечки их по агентурным каналам.
Технические задачи направлены на устранение или ослабление
технических демаскирующих признаков объектов защиты и технических
каналов утечки сведений о них. При этом скрытие осуществляется
уменьшением электромагнитной, временной, структурной и признаковой
доступности, а также ослаблением адекватности между структурой,
топологией и характером функционирования средств, комплексов, объектов,
систем обработки информации и управления.
Решение этой задачи представляет собой реализацию комплекса
организационно-технических
мероприятий
и
мер,
обеспечивающих
выполнение основного требования к средствам, комплексам и системам
обработки
информации
—
разведзащищенности,
и
направлено
на
достижение одной из главных целей — исключения или существенного
затруднения технической разведке поиска, определения местоположения,
радионаблюдения
идентификации
источников
объектов
радиоизлучения,
технической
разведки
классификации
по
и
выявленным
демаскирующим признакам.
Решение
задачи
по
снижению
электромагнитной
доступности
затрудняет как энергетическое обнаружение, так и определение координат
района расположения источников радиоизлучения, а также увеличивает
время выявления демаскирующих признаков, уменьшает точность измерения
параметров и сигналов средств радиоизлучения.
29
Снижение
временной
доступности
радиоизлучающих
средств
предполагает сокращение времени их работы на излучение при передаче
информации и увеличение длительности паузы между сеансами обработки
информации. Для уменьшения структурной и признаковой доступности
средств,
комплексов
и
систем
обработки
информации
реализуются
организационно-технические мероприятия, ослабляющие демаскирующие
признаки и создающие так называемый «серый фон».
Технические задачи скрытия должны решаться, например, для подвижных
объектов (автомобилей), оборудованных радиосвязью.
Класс 1.2. Дезинформация противника.
К этому классу относятся задачи, заключающиеся в распространении
заведомо ложных сведений относительно истинного назначения каких-либо
объектов и изделий, действительного состояния какой-либо области
государственной деятельности, положения дел на предприятии и т. д.
Дезинформация обычно проводится путем распространения ложной
информации по различным каналам, имитацией или искажением признаков и
свойств отдельных элементов объектов защиты, создания ложных объектов,
по внешнему виду или проявлениям похожих на интересующие соперника
объекты, и др.
Техническая дезинформация на объекте защиты представляет собой
комплекс организационных мероприятий и технических мер, направленных
на введение в заблуждение технической разведки относительно истинных
целей систем обработки информации, намерений органов управления.
Частными задачами технической дезинформации являются:
—
искажение демаскирующих признаков реальных объектов и систем,
соответствующих признакам ложных объектов;
—
создание (имитация) ложной обстановки, объектов, систем, комплексов
путем воспроизведения демаскирующих признаков реальных объектов,
структур систем, ситуаций, действий, функций и т. д.;
30
—
передача,
обработка,
хранение
в
системах
обработки
ложной
информации.
В общем виде эти задачи могут быть сгруппированы в частные задачи
радиоимитации, радиодезинформации, демонстративных действий.
Класс 1.3. Легендирование.
Объединяет задачи по обеспечению получения злоумышленником
искаженного представления о характере и предназначении объекта, когда
наличие объекта и направленность работ на нем полностью не скрывают, а
маскируют действительное предназначение и характер мероприятий.
На практике, учитывая чрезвычайно высокую степень развития
современных средств ведения разведки, представляется особо сложным
полное скрытие информации об объектах. Так, современные средства
фоторазведки позволяют делать из космоса снимки объектов с разрешающей
способностью в несколько десятков сантиметров.
Наряду с рассмотренным видом задач не менее важными, а по
содержанию более объемными, являются задачи по защите содержания
обрабатываемой, хранимой и передаваемой информации. К этому виду
относятся следующие классы задач.
Класс 2.1. Введение избыточности элементов системы.
Под избыточностью понимается включение в состав элементов
системы
обработки
информации
дополнительных
компонентов,
обеспечивающих реализацию заданного множества целей защиты, с учетом
воздействий внешних и внутренних дестабилизирующих факторов.
Решение
этой
задачи
включает
реализацию
комплекса
организационных мероприятий, технических, программных и других мер,
обеспечивающих организационную, аппаратную, программно-аппаратную,
временную избыточности.
Организационная избыточность осуществляется за счет введения
дополнительной численности обслуживающего персонала, его обучения,
организации и обеспечения режима сохранения государственной тайны и
31
другой конфиденциальной информации, определения порядка передачи
информации различной степени важности, выбора мест размещения средств
и комплексов обработки информации и т. п.
Аппаратурная
дополнительных
избыточность
технических
осуществляется
устройств,
за
счет
обеспечивающих
введения
защиту
информации.
Программно-аппаратная избыточность предполагает использование
дополнительных программных, аппаратных и комбинированных средств
защиты в системе обработки информации.
Информационная избыточность осуществляется за счет создания
дополнительных информационных массивов, банков данных.
Временная избыточность предполагает выделение дополнительного
времени для проведения обработки информации и др.
Класс 2.2. Резервирование элементов системы.
Резервирование, в отличие
от
задачи
введения
избыточности,
предполагает не введение дополнительных элементов, обеспечивающих
защиту информации, а их исключение и перевод в резерв на случай
возникновения
информации,
необходимости
повышения
обработки
статуса
ее
дополнительного
защищенности,
массива
возникновения
непредвиденных ситуаций. Такое резервирование может быть «горячим» и
«холодным».
При горячем резервировании элементы находятся в рабочем состоянии
и включаются в работу без проведения дополнительных операций по
включению и подготовке к работе, а при холодном элементы переводятся в
рабочее состояние после дополнительных операций.
Класс 2.3. Регулирование доступа к элементам системы и защищаемой
информации.
Регулирование доступа к средствам, комплексам и системам обработки
информации (на территорию, в помещение, к техническим средствам,
программам, базам данных и т. п.) предполагает реализацию идентификации,
32
проверки подлинности и контроля доступа, регистрацию субъекта, учет
носителей информации в системе ее обработки.
Кроме того, к данному классу относятся задачи по установлению и
регулированию контролируемых зон вокруг технических средств обработки
информации, за пределами которых становятся невозможными выделение и
регистрация с помощью технических средств разведки сигналов, содержащих
конфиденциальную информацию.
Такие сигналы могут возникать, например, за счет появления вокруг
функционирующих
средств
обработки
информации
побочных
электромагнитных излучений (ПЭМИ) или наводок в проводах, выходящих
за пределы контролируемой зоны.
При этом установление размеров контролируемых зон включает
следующие этапы:
—
определение полного множества возможных угроз утечки информации
по техническим каналам;
—
проведение в соответствии с имеющимися методиками измерений
параметров информационных сигналов, характеризующих ТКУИ;
—
расчет зон опасного сигнала, в которых возможно его выделение из
смеси с шумовым сигналом;
— применение организационных и технических мер по защите и
недопущению в контролируемую зону лиц, не имеющих на это права.
Регулирование размеров контролируемых зон производится в случае
невозможности
обеспечения
требований
к
контролируемой
зоне
организационными методами путем применения технических способов
защиты, снижающих возможности противника по выделению сигнала,
содержащего конфиденциальные сведения.
Класс 2.4. Регулирование использования элементов системы и защищаемой
информации.
33
Регулирование
использования
заключается
в
осуществлении
запрашиваемых процедур (операций) при условии предъявления некоторых
заранее обусловленных полномочий.
Для решения данного класса задач относительно конфиденциальной
информации могут осуществляться такие операции, как ее дробление и
ранжирование.
Дробление (расчленение) информации на части с таким условием, что
знание какой-то одной ее части (например, одной операции по технологии
производства какого-то продукта) не позволяет восстановить всю картину,
всю технологию в целом.
Дробление применяется достаточно широко при производстве средств
вооружения и военной техники, а также при производстве товаров народного
потребления.
Широко известно, например, как фирма, производящая напиток «Кока-кола»,
хранит секрет концентрата «7х»: во всем мире его знают только три человека,
и то лишь по частям. Они не имеют права одно временно выехать из своего
офиса, ездить в одной машине, летать одним самолетом.
Ранжирование
включает,
во-первых,
деление
засекречиваемой
информации по степени секретности и, во-вторых, регламентацию допуска и
разграничение
доступа
к
защищаемой
информации:
предоставление
индивидуальных прав отдельным пользователям на доступ к необходимой им
конкретной
информации
Разграничение
доступа
и
к
на
выполнение
информации
может
отдельных
операций.
осуществляться
по
тематическому признаку или по признаку секретности информации и
определяется матрицей доступа.
Примером данного класса задач является допуск сотрудников к
обслуживанию специальной техники только при наличии соответствующего
разрешения.
Класс 2.5. Маскировка информации.
34
Маскировка информации заключается:
—
в скрытии факта наличия информации методами стеганографии;
—
в преобразовании данных, исключающем доступ посторонних лиц к
содержанию
информации
и
обеспечивающем
доступ
разрешенным
пользователям при предъявлении ими специального ключа преобразования.
Решение этой задачи осуществляется на основе криптографических,
некриптографических
и
смежных
с
ними
зашумление,
(кодовое
ортогональные преобразования) преобразований.
Класс 2.6. Регистрация сведений.
Регистрация
предполагает
фиксацию
всех
сведений
о
фактах,
событиях, возникающих в процессе функционирования средств и систем
обработки информации, относящихся к защите информации, на основании
которых осуществляется решение задач оценки состояния безопасности
информации с целью повышения эффективности управления механизмами
защиты.
Данный вид задач может быть реализован как автоматизированным,
так и ручным способами.
В первом случае примером могут служить специальные программные
средства регистрации попыток несанкционированного доступа в систему,
несанкционированного
использования
ресурсов
системы
и
др.
Для
реализации ручного способа на каждом объекте обработки информации, как
правило, силами обслуживающего персонала ведется эксплуатационнотехническая документация.
Класс 2.7. Уничтожение информации.
Решение задачи по уничтожению информации представляется как
процедура своевременного полного или частичного вывода из системы
обработки
элементов
информации,
компонентов
системы,
не
представляющих практической, исторической, научной ценности, а также
35
если их дальнейшее нахождение в системе обработки снижает безопасность
информации.
Для
различных
классов
информационно-телекоммуникационных
систем уничтожение информации имеет определенную специфику.
Так, для систем автоматизированной обработки информации типичной
процедурой является уничтожение остаточной информации в элементах
оперативного запоминающего устройства, отдельных магнитных носителях,
программных модулях, контрольных распечатках, выданных документах
после решения соответствующей задачи по обработке информации.
Для
криптографических
своевременное
уничтожение
систем
носителей
такой
задачей
ключевой
может
информации
быть
для
шифрования данных в целях повышения криптостойкости (способности
аппаратуры шифрования противостоять вскрытию секрета шифра).
Одной из разновидностей уничтожения информации является так
называемое аварийное уничтожение, осуществляемое при явной угрозе
злоумышленного доступа к информации повышенной важности.
Класс 2.8. Обеспечение сигнализации.
Решение задачи обеспечения сигнализации состоит в реализации
процедуры сбора, генерирования, передачи, отображения и хранения
сигналов о состоянии механизмов защиты с целью обеспечения регулярного
управления ими, а также объектами и процессами обработки информации.
Этот класс задач обеспечивает обратную связь в системе управления, чем
достигается обеспечение активности системы защиты. В основном такие
задачи решаются с помощью технических средств сигнализации. Однако для
оценки обслуживающего персонала СЗИ и пользователей ООИ могут быть
использованы специальные методы, связанные с психофизиологическим
тестированием, аналитическим анализом и т. д.
Класс 2.9. Оценка системы защиты информации.
36
Этот класс объединяет широкий круг задач, связанных с оценкой
эффективности
функционирования
механизмов
обработки
и
защиты
информации на основе сравнения уровня безопасности информации,
достигаемого применением выбранных механизмов, с требуемым уровнем.
При этом контроль эффективности может включать проверку соответствия
элементов системы заданному их составу, работоспособности элементов
системы, правильности функционирования элементов системы, отсутствия
несанкционированных устройств и систем съема информации и т. д.
Данная оценка производится на основе анализа данных, полученных в
результате выполнения комплекса задач, рассмотренных в предыдущем
классе, а также аналитической обработки зарегистрированных данных о
функционировании систем обработки и защиты информации (класс 2.6).
К этому классу также относится большая группа задач по оценке
требуемого уровня готовности обслуживающего персонала к обеспечению
информационной безопасности.
Класс 2.10. Обеспечение реагирования.
Получив по каналам обратной связи информацию о состоянии системы
защиты, в соответствии с законами управления орган управления должен при
необходимости выработать управленческое решение, то есть отреагировать
на полученный сигнал. Реагирование на проявление дестабилизирующих
факторов является признаком активности системы защиты информации,
реализация которого направлена на предотвращение или снижение степени
воздействия
этих
факторов
на
информацию.
При
этом
принятие
управленческих решений может осуществляться как в режиме реального
времени (оперативно-техническое управление), так и при календарноплановом руководстве.
Приведенный выше анализ угроз информации показал, что одними из
наиболее значимых причин нарушения ее целостности являются ошибки и
сбои в работе персонала. В связи с этим к рассматриваемому классу
37
относятся задачи по достижению необходимого уровня теоретической
подготовки и практических навыков в работе (подготовка персонала), а также
задачи по формированию высокой психофизиологической устойчивости к
воздействию дестабилизирующих факторов и моральной устойчивости к
разглашению конфиденциальных сведений (подбор, оценка персонала,
стимулирование его деятельности и др.).
К третьему виду относятся задачи по защите от информационного
воздействия. К ним можно отнести следующие классы задач.
Класс 3.1. Защита от информационного воздействия на технические
средства обработки.
Информационное воздействие на технические средства обработки,
хранения и передачи информации может быть направлено на:
—
уничтожение информации (например, электронное подавление средств
связи);
—
искажение или модификацию информации и логических связей
(внедрение компьютерных вирусов);
—
внедрение ложной информации в систему.
Таким образом, данный класс включает задачи по реализации
технических средств и организационно-технических мероприятий,
способствующих защите от рассмотренных направлений воздействия.
Класс 3.2. Защита от информационного воздействия на общество.
Задачи предполагают разработку и реализацию методов защиты от
негативного
воздействия
через
средства
массовой
информации
на
общественное сознание людей. Целями такого воздействия могут быть,
например, навязывание общественного мнения (пропаганда), решение
экономических вопросов (реклама), разрушение национальных традиций и
культуры (навязывание со стороны других государств чуждых культурных
ценностей) и др.
38
Класс 3.3. Защита от информационного воздействия на психику человека.
Этот класс включает широкий круг задач, направленных как
непосредственно на защиту от технических средств воздействия на психику
(психотронного оружия), так и на определение и формирование у человека
высокой стрессоустойчивости, высоких моральных качеств и т. д.,
позволяющих противостоять такому воздействию.
2. Стратегии защиты информации
Стратегия — это общая, рассчитанная на перспективу, руководящая
установка
при
организации
и
обеспечении
соответствующего
вида
деятельности, направленная на то, чтобы наиболее важные цели этой
деятельности
достигались при
наиболее
рациональном
расходовании
имеющихся ресурсов.
Организация защиты информации в самом общем виде может быть
определена как поиск оптимального компромисса между потребностями в
защите и необходимыми для этих целей ресурсами.
Потребности в защите обусловлены прежде всего важностью и
объемами защищаемой информации, а также условиями ее хранения,
обработки и использования. Эти условия определяются качеством (уровнем)
структурно-организационного построения объекта обработки информации,
уровнем организации технологических схем обработки, местом и условиями
расположения объекта и его компонентов и другими параметрами.
Размер ресурсов на защиту информации
определенным
пределом, либо определяется
либо ограничивается
условием
обязательного
достижения требуемого уровня защиты. В первом случае защита должна
быть организована так, чтобы при выделенных ресурсах обеспечивался
максимально возможный уровень защиты, а во втором — чтобы требуемый
уровень защиты обеспечивался при минимальном расходовании ресурсов.
39
Сформулированные задачи есть не что иное, как прямая и обратная
постановки оптимизационных задач, которые достаточно детально изучены в
современной теории систем, информатике и прикладной математике. И если
бы
были
известны
функциональные
зависимости
между
объемом
затрачиваемых ресурсов и достигаемым уровнем защиты, то каждая из
сформулированных выше задач могла бы быть строго решена известными
методами
в
каждом
конкретном
случае.
Но,
указанные
выше
функциональные зависимости в настоящее время отсутствуют.
Существуют две основные причины этого обстоятельства. Первая
заключается в том, что процессы защиты информации находятся в
значительной
зависимости
от
большого
числа
случайных
и
труднопредсказуемых факторов, таких как поведение злоумышленника,
воздействие
природных
явлений,
сбои
и
ошибки
в
процессе
функционирования элементов системы обработки информации и др. Вторая
причина характеризуется тем, что среди средств защиты весьма заметное
место занимают организационные меры, связанные с действием человека.
Например, уровень защищенности информации может быть повышен
не только механическим применением специальных средств защиты, но и
более четким построением структуры объекта, определением порядка
использования его элементов, подбором и подготовкой обслуживающего
персонала и т. д.
В целях создания условий для ориентации в неопределенных ситуациях
введено понятие «стратегия защиты» как общий взгляд на сложившуюся
обстановку по обеспечению безопасности информации и общий подход к
принятию наиболее рационального решения в этой ситуации. При этом
количество различных стратегий должно быть небольшим, но в то же время
полно и достаточно адекватно отображать всю гамму потенциально
возможных ситуаций.
40
Обоснование
числа
и
содержания
необходимых
стратегий
осуществляется по двум критериям: требуемому уровню защиты и степени
свободы действий при организации защиты.
Первый
критерий
можно
выразить
множеством
тех
угроз,
относительно которых должна быть обеспечена защита: от наиболее опасных
из известных (ранее проявившихся) угроз; от всех известных угроз; от всех
потенциально возможных угроз.
Второй критерий выбора стратегий защиты сводится к тому, что
организаторы и исполнители процессов защиты имеют относительно полную
свободу распоряжения методами и средствами защиты и некоторую степень
свободы вмешательства в архитектурное построение системы обработки
информации (СОИ), а также в организацию и обеспечение технологии ее
функционирования. По этому аспекту удобно выделить три различные
степени свободы:
—
никакое вмешательство в СОИ не допускается. Такое требование
может быть предъявлено к уже функционирующим СОИ, и нарушение
процесса их функционирования для установки механизмов защиты не
разрешается;
—
допускается приостановка процесса функционирования СОИ для
установки некоторых механизмов защиты;
— требования любого уровня, обусловленные потребностями защиты
информации, принимаются в качестве обязательных условий при построении
СОИ, организации и обеспечении их функционирования.
Однако на практике из девяти можно выделить всего лишь три основные
стратегии, как показано на рис. 2.2.
Учитываемые
угрозы
Наиболее
опасные
Влияние на СОИ
отсутствует
Оборонительная
стратегия
частичное
полное
41
Все известные
Наступательна
я стратегия
Потенциально
возможные
Упреждающая
стратегия
Рисунок 2.2. Стратегии защиты информации
При выборе оборонительной стратегии, подразумевается, что при
недопущении вмешательства в процесс функционирования СОИ можно
нейтрализовать лишь наиболее опасные угрозы.
Например,
данная
стратегия, применяемая
для
существующего
объекта, может включать разработку организационных мер и использование
технических средств по ограничению несанкционированного допуска к
объекту.
Упреждающая
стратегия
предполагает
тщательное
исследование
возможных угроз СОИ и разработку мер по их нейтрализации еще на стадии
проектирования и изготовления системы. При этом нет смысла на данном
этапе рассматривать ограниченное множество подобных угроз.
3. Способы и средства защиты информации
К настоящему времени разработано много различных средств и методов
защиты информации, накапливаемой, хранимой и обрабатываемой в
автоматизированных системах, в том числе и передаваемой по линиям связи
большой протяженности.
информации
Множество и разнообразие средств защиты
определяются
прежде
всего
возможными
способами
воздействия на дестабилизирующие факторы или порождающие их
причины, причем воздействия в направлении, способствующем повышению
значений показателей защищенности или (по крайней мере) сохранению
прежних (ранее достигнутых) их значений.
Рассмотрим содержание представленных способов и средств обеспечения
безопасности (рис. 2.3).
42
Рисунок 2.3. Структура взаимосвязи задач, способов и средств защиты
информации
Препятствие заключается в создании на пути возникновения или
распространения дестабилизирующего фактора некоторого барьера, не
позволяющего соответствующему фактору принять опасные размеры.
Типичными
примерами
препятствий
являются
блокировки,
не
позволяющие техническому устройству или программе выйти за опасные
границы; создание физических препятствий на пути злоумышленников,
экранирование помещений и технических средств и т. п.
Маскировка
предполагает
такие
преобразования
информации,
вследствие которых она становится недоступной для злоумышленников или
такой доступ существенно затрудняется, а также комплекс мероприятий по
уменьшению степени распознавания самого объекта. К маскировке относятся
криптографические методы преобразования информации, скрытие объекта,
дезинформация и легендирование, а также меры по созданию шумовых
полей, маскирующих информационные сигналы.
43
Регламентация как способ защиты информации заключается в
разработке и реализации в процессе функционирования объекта комплекса
мероприятий, создающих
такие
условия, при
которых
существенно
затрудняются проявление и воздействие угроз. К регламентации относится
разработка таких правил обращения с конфиденциальной информацией и
средствами ее обработки, которые позволили бы максимально затруднить
получение этой информации злоумышленником.
Например, регламентация обращения с документами в процессе
защищенного документооборота заключается в разработке таких правил их
учета, хранения, перемещения и уничтожения, которые обеспечивают
высокую степень защиты сведений от несанкционированного доступа.
Управление есть определение на каждом шаге функционирования
систем обработки информации таких управляющих воздействий на элементы
системы, следствием которых будет решение (или способствование
решению) одной или нескольких задач по защите информации. Такими
управляющими воздействиями являются задачи, обозначенные выше как
реагирование на проявление дестабилизирующих воздействий. При этом
управление включает в себя сбор, передачу, обобщение и анализ данных об
ООИ и СЗИ.
Например, управление доступом на объект включает следующие
функции защиты:
—
опознавание (установление подлинности) объекта или субъекта по
предъявленному им идентификатору;
—
проверку полномочий (проверку соответствия дня недели, времени
суток, запрашиваемых ресурсов и процедур установленному регламенту);
—
регистрацию (протоколирование) обращений к защищаемым ресурсам;
—
реагирование (сигнализацию, отключение, задержку работ, отказ в
запросе) при попытках несанкционированных действий.
Принуждение — такой метод защиты, при котором пользователи и
персонал системы вынуждены соблюдать правила обработки, передачи и
44
использования
защищаемой
информации
под
угрозой
материальной,
административной или уголовной ответственности.
Побуждение
есть
способ
защиты
информации,
при
котором
пользователи и персонал объекта внутренне (то есть материальными,
моральными,
этическими,
психологическими
и
другими
мотивами)
побуждаются к соблюдению всех правил обработки информации.
В качестве отдельного, применяемого при ведении активных действий
противоборствующими сторонами, можно выделить такой способ, как
нападение. При этом подразумевается как применение информационного
оружия при ведении информационной войны, так и непосредственное
физическое уничтожение противника (при ведении боевых действий) или его
средств разведки.
Рассмотренные способы обеспечения защиты информации реализуются
с применением различных методов и средств.
В соответствии с определением, изложенным в Законе Российской
Федерации «О государственной тайне», к средствам защиты информации
относятся
«технические,
криптографические,
средства,
предназначенные
для
защиты
программные
сведений,
и
другие
составляющих
государственную тайну, средства, в которых они реализованы, а также
средства контроля эффективности защиты информации».
Все средства защиты можно разделить на две группы — формальные и
неформальные. К формальным относятся такие средства, которые выполняют
свои функции по защите информации преимущественно без участия
человека. К неформальным относятся средства, основу которых составляет
целенаправленная деятельность людей. Формальные средства делятся на
физические, аппаратные и программные.
Физические
электромеханические,
средства
—
электронные,
механические,
электрические,
электронно-механические
и
тому
подобные устройства и системы, которые функционируют автономно,
45
создавая различного рода препятствия на пути дестабилизирующих
факторов.
Аппаратные средства — различные электронные, электронномеханические и тому подобные устройства, схемно встраиваемые в
аппаратуру системы обработки данных или сопрягаемые с ней специально
для решения задач по защите информации.
Например,
для
защиты
от
утечки
по
техническим
каналам
используются генераторы шума.
Физические и аппаратные средства объединяются в класс технических
средств защиты информации.
Программные средства — специальные пакеты программ или
отдельные программы, включаемые в состав программного обеспечения
автоматизированных систем с целью решения задач по защите информации.
Это
могут
быть
различные
программы
по
криптографическому
преобразованию данных, контролю доступа, защите от вирусов и др.
Неформальные средства делятся на организационные, законодательные
и морально-этические.
Организационные средства — специально предусматриваемые в
технологии
функционирования
объекта
организационно-технические
мероприятия для решения задач по защите информации, осуществляемые в
виде целенаправленной деятельности людей.
Законодательные
средства
—
существующие
в
стране
или
специально издаваемые нормативно-правовые акты, с помощью которых
регламентируются права и обязанности, связанные с обеспечением защиты
информации,
всех
лиц
и
подразделений,
имеющих
отношение
к
функционированию системы, а также устанавливается ответственность за
нарушение правил обработки информации, следствием чего может быть
нарушение защищенности информации.
Морально-этические нормы — сложившиеся в обществе или данном
коллективе моральные нормы или этические правила, соблюдение которых
46
способствует защите информации, а нарушение их приравнивается к
несоблюдению правил поведения в обществе или коллективе.
Морально-этические методы защиты информации можно отнести к
группе тех методов, которые, исходя из расхожего выражения, что «тайну
хранят не замки, а люди», играют очень важную роль в защите информации.
Именно человек, сотрудник предприятия или учреждения, допущенный
к секретам и накапливающий в своей памяти колоссальные объемы
информации, в том числе секретной, нередко становится источником утечки
этой информации, или по его вине соперник получает возможность
несанкционированного доступа к носителям защищаемой информации.
Морально-нравственные методы защиты информации предполагают
прежде всего воспитание сотрудника, допущенного к секретам, то есть
проведение специальной работы, направленной на формирование у него
системы определенных качеств, взглядов и убеждений (патриотизма,
понимания важности и полезности защиты информации и для него лично), и
обучение
сотрудника,
осведомленного
о
сведениях,
составляющих
охраняемую тайну, правилам и методам защиты информации, привитие ему
навыков работы с носителями секретной и конфиденциальной информации.
ТЕМА 3. Архитектура систем защиты информации
1. Требования к архитектуре СЗИ
Система защиты информации (СЗИ) в самом общем виде может быть
определена как организованная совокупность всех средств, методов и
мероприятий, выделяемых (предусматриваемых) на объекте информатизации
(ОИ) для решения в ней выбранных задач по защите.
Введением понятия СЗИ определяется тот факт, что все ресурсы,
выделяемые для защиты информации, должны объединяться в единую,
целостную систему, которая является функционально самостоятельной
подсистемой любого ОИ.
47
Таким образом, важнейшим концептуальным требованием к СЗИ
является
требование
целенаправленному
адаптируемости,
приспособлению
то
при
есть
способности
изменении
к
структуры,
технологических схем или условий функционирования ОИ. Важность
требования
адаптируемости
обусловливается,
с
одной
стороны,
возможностью изменяться перечисленным факторам, а с другой —
отношением процессов защиты информации к слабоструктурированным, то
есть имеющим высокий
уровень неопределенности. Управление
же
слабоструктурированными процессами может быть эффективным лишь при
условии адаптируемости системы управления.
Помимо общего концептуального требования, к СЗИ предъявляется
еще целый ряд более конкретных, целевых требований, которые могут быть
разделены на:
• функциональные;
• эргономические;
• экономические;
• технические;
• организационные.
В совокупности эти требования образуют систему, структура и содержание
которой показаны на рис. 3.1.
Сформированная к настоящему времени система включает следующий
перечень общеметодологических принципов:
• концептуальное единство;
• адекватность требованиям;
• гибкость (адаптируемость);
• функциональная самостоятельность;
• удобство использования;
• минимизация предоставляемых прав;
• полнота контроля;
48
• адекватность реагирования;
• экономичность.
Рисунок 3.1. Требования к системе защиты информации на ОИ
Концептуальное единство означает, что архитектура, технология,
организация и обеспечение функционирования как СЗИ в целом, так и
составных ее компонентов должны рассматриваться и реализовываться в
строгом соответствии с основными положениями единой концепции защиты
информации.
Адекватность требованиям означает, что СЗИ должна строиться в
строгом соответствии с требованиями к защите, которые, в свою очередь,
определяются
категорией
соответствующего
объекта
и
значениями
параметров, влияющих на защиту информации.
Гибкость
(адаптируемость)
системы
защиты
означает
такое
построение и такую организацию ее функционирования, при которых
функции защиты осуществлялись бы достаточно эффективно при изменении
в некотором диапазоне структуры ОИ, технологических схем или условий
функционирования каких-либо ее компонентов.
49
Функциональная самостоятельность предполагает, что СЗИ должна
быть самостоятельной обеспечивающей подсистемой системы обработки
информации и при осуществлении функций защиты не должна зависеть от
других подсистем.
Удобство использования означает, что СЗИ не должна создавать
дополнительных неудобств для пользователей и персонала ОИ.
Минимизация предоставляемых прав означает, что каждому
пользователю и каждому лицу из состава персонала ОИ должны
предоставляться лишь те полномочия на доступ к ресурсам ОИ и
находящейся в ней информации, которые ему действительно необходимы для
выполнения своих функций в процессе автоматизированной обработки
информации. При этом предоставляемые права должны быть определены и
утверждены заблаговременно в установленном порядке.
Полнота
контроля
автоматизированной
предполагает,
обработки
что
защищаемой
все
процедуры
информации
должны
контролироваться системой защиты в полном объеме, причем основные
результаты
контроля
должны
фиксироваться
в
специальных
регистрационных журналах.
Активность реагирования означает, что СЗИ должна реагировать на
любые попытки несанкционированных действий. Характер реагирования
может быть различным и включает: просьбу повторить действие; отключение
структурного элемента, с которого осуществлено несанкционированное
действие;
исключение
нарушителя
из
числа
зарегистрированных
пользователей; подачу специального сигнала и др.
Экономичность СЗИ означает, что при условии соблюдения основных
требований всех предыдущих принципов расходы на СЗИ должны быть
минимальными.
2. Основы архитектурного построения СЗИ
50
Так
как
СЗИ,
является
функциональной
подсистемой
ОИ.
Следовательно, ее архитектура также должна быть аналогичной архитектуре
ОИ и представлять собой функциональное, организационное и структурное
построение.
Функциональным
построением
любой
системы
называется
организованная совокупность функционально разграниченных элементов
СЗИ (рис. 3.2).
Исходя из анализа необходимости нейтрализации основных видов
угроз информации и реализации основных методов защиты информации, а
также
в
соответствии
документом
с
подходами,
Государственной
определенными
технической
руководящим
комиссии, функциональное
построение СЗИ можно представить совокупностью следующих подсистем.
Функциональное построение системы защиты информации
Угрозы информации
НСКоп
Нарушения
целостности
НСМод
Подсистема
ограничения
доступа
Подсистема
криптографической
защиты
Ядро СЗИ
СЗИ
Подсистема
регистрации и
учета
Препятствие
Подсистема
обеспечения
целостности
Регламентация
Управление
Маскировка
Методы защиты информации
Рисунок 3.2. Функциональное построение системы защиты
информации
51
1.
Ограничения доступа. Подсистема должна выполнять функции
идентификации, проверки подлинности (аутентификации) и контроля
доступа пользователей конфиденциальной
информацией и программ (процессов) к ресурсам:
• системе;
• терминалам;
• ЭВМ (ПЭВМ), типам сети ЭВМ (ПЭВМ);
• каналам связи;
• внешним устройствам ЭВМ (ПЭВМ);
• программам;
• томам, каталогам, файлам, записям, полям записей;
• носителям конфиденциальной информации.
Данные функции могут реализовываться на объекте с помощью
специализированных систем контроля и управления доступом (СКУД),
включающих программные средства аутентификации и регистрации и
технические устройства ограничения доступа. Доступ к ПЭВМ в основном
обеспечивается программными средствами защиты.
В настоящее время на действующих объектах ИТКС СН ограничение
доступа осуществляется главным образом организационными методами.
При наличии на объекте информационных ресурсов с несколькими
степенями конфиденциальности и пользователей с различными правами
доступа подсистема должна реализовывать механизм разграничения доступа,
в основе которого могут лежать существующие модели такого доступа (на
основе матрицы доступа, мандатные, многоуровневые модели).
2.
Криптографической защиты. Подсистема реализует функцию
шифрования конфиденциальной информации, записываемой на совместно
используемые различными субъектами доступа (разделяемые) носители
данных, а также на съемные носители данных (ленты, диски, дискеты,
микрокассеты и т. п.) долговременной внешней памяти для хранения за
пределами сеансов работы санкционированных субъектов доступа, а также
52
информации, передаваемой
по линиям связи. Доступ к операциям
шифрования и/или криптографическим ключам контролируется посредством
подсистемы управления доступом.
Криптографическая подсистема реализуется в виде:
• программно-аппаратных или программных средств, разрабатываемых
(используемых)
криптографического
на
основе
действующих
преобразования,
криптосхемы,
алгоритмов
реализующей
выбранный алгоритм, или других аттестованных аппаратных средств,
предназначенных для шифрования/дешифрования с целью снятия
грифа секретности информации, записываемой на учтенных носителях,
внешних
запоминающих
устройствах
ЭВМ
(накопителях)
или
передаваемой по линиям связи;
• других криптографических средств для шифрования/дешифрования
информации, включая служебную информации СЗИ НСД (ключи,
пароли, таблицы санкционирования и т. п.).
3. Обеспечения целостности. Является обязательной для любой СЗИ и
включает организационные, программно-аппаратные и другие средства и
методы, обеспечивающие:
• контроль целостности программных средств АС и СЗИ на предмет их
несанкционированного изменения;
• периодическое и/или динамическое тестирование функций СЗИ НСД с
помощью специальных программных средств;
• наличие
администратора
(службы)
защиты
информации
ответственного за ведение, нормальное функционирование и контроль
работы СЗИ НСД;
• восстановление СЗИ НСД при отказе и сбое;
• резервирование информационных ресурсов на других типах носителей;
• применение сертифицированных (аттестованных) средств и методов
защиты,
сертификация
которых
проводится
специальными
и
испытательными центрами.
53
4.
Регистрации и учета. Включает средства регистрации и учета
событий и/или ресурсов с указанием времени и инициатора:
• входа/выхода пользователей в/из системы (узла сети);
• выдачи печатных (графических) выходных документов;
• запуска/завершения
программ
и
процессов
(заданий,
задач),
использующих защищаемые файлы;
• доступа программ пользователей к защищаемым файлам, включая их
создание и удаление, передачу по линиям и каналам связи;
• доступа программ пользователей к терминалам, ЭВМ, узлам сети ЭВМ,
каналам и линиям связи, внешним устройствам ЭВМ, программам,
томам, каталогам;
• изменения полномочий субъектов доступа;
• создаваемых объектов доступа;
• носителей информации.
Регистрация
производится
с
помощью
средств
ручного
или
автоматического ведения журнала (системного) и выдачи из него протоколов
работы пользователей по выбранным регистрируемым параметрам.
Кроме того, данная подсистема включает средства очистки (обнуления,
обезличивания) областей оперативной памяти ЭВМ и внешних накопителей,
использованных для обработки и/или хранения защищаемой информации.
При
ручном
учете
и
регистрации
эти
функции
реализуются
организационными методами уничтожения носителей.
5.
Подсистема управления — некоторое управляющее звено,
которое в специальных публикациях получило название «ядро СЗИ».
Ядро системы защиты информации предназначено для объединения
всех подсистем СЗИ в единую целостную систему, для организации
обеспечения управления ее функционированием.
Ядро может включать организационные и технические составляющие.
54
Организационная составляющая представляет собой совокупность
специально выделенных для обеспечения ЗИ сотрудников, выполняющих
свои функции в соответствии с разработанными правилами, а также
нормативную базу, регламентирующую выполнение этих функций службой
защиты информации. Ее назначение и основные функции будут рассмотрены
ниже.
Техническая составляющая обеспечивает техническую поддержку
организационной
составляющей
и
представляет
собой
совокупность
технических средств отображения состояния элементов СЗИ, контроля
доступа к ним, управления их включением и т. д. Чаще всего эти средства
объединены в соответствующий пульт управления СЗИ.
Ядро СЗИ реализует следующие функции.
1. В отношении подсистемы ограничения доступа:
• блокирование
бесконтрольного
доступа
к
носителям
конфиденциальной информации и элементам СОИ (помещения ООИ и
отдельные
их
сигнализации,
элементы
пульт
оборудуются
управления
средствами
которыми
входит
охранной
в
состав
технического обеспечения ядра. Носители с защищаемыми данными
хранятся в охраняемом помещении и отдельно от носителей с
незащищаемыми данными. Для установки носителей с защищаемыми
данными выделяются строго определенные устройства управления
ВЗУ, которые оборудуются специальными замками, управление
которыми осуществляется средствами ядра);
• контроль и обеспечение реагирования на сигналы о попытках
несанкционированного доступа (средства ядра должны обеспечивать
контроль всех сигналов о несанкционированных действиях в любом
структурном элементе ОИ, причем могут быть предусмотрены
следующие виды реагирования: звуковое, световое и документальное;
зарегистрированный
сигнал
должен
содержать
следующую
информацию: место несанкционированного действия, время и характер
55
действия; реагирование на сигналы должно обеспечивать прерывание
обработки защищаемых данных, уничтожение информации в тех
устройствах, которые могут быть доступны вследствие обнаруженных
несанкционированных действий, и принятие мер для задержания
нарушителя);
• при наличии нескольких уровней конфиденциальности информации
управление потоками информации, то есть контроль ее передачи между
строго установленными ресурсами (носителями) с учетом наличия
разрешения на такой вид обмена. Управление осуществляется с
помощью определенных меток конфиденциальности. При переводе
информации на новый носитель (передаче другому пользователю)
необходимо, чтобы уровень конфиденциальности этого носителя
(пользователя) был не ниже уровня конфиденциальности передаваемой
информации.
2.
В отношении криптографической подсистемы:
• контроль
выполнения
информации
вскрытию
требований
(криптостойкости
содержания
—
информации;
к
средствам
способности
шифрования
противостоять
имитозащищенности
—
способности противостоять вводу ложной информации);
• управление ключами шифрования (разработка, доставка, обращение и
уничтожение).
3.
В отношении подсистемы обеспечения целостности:
• организация и обеспечение проверок правильности функционирования
СЗИ
(аппаратных
средств
—
по
тестовым
программам
и
организационно; физических средств — организационно, программных
средств — по специальным контрольным суммам (на целостность) и по
другим идентифицирующим признакам; регистрационных журналов —
программно и организационно на целостность и защищенность;
организационных средств защиты — организационно сотрудниками
служб защиты);
56
• контроль за резервированием информационных ресурсов и их
уничтожением при необходимости;
• обеспечение недоступности средств управления доступом со стороны
пользователей
с
целью
их
модификации,
блокирования
или
отключения.
4. В отношении подсистемы регистрации и учета:
• организация
и
контроль
процесса
регистрации
всех
случаев,
рассмотренных выше;
• анализ регистрируемых данных для оценки уровня безопасности
объекта.
Кроме того, в отношении общего управления ядро СЗИ обеспечивает
текущее планирование защиты информации, включение компонентов и
технологических схем функционирования СЗИ в работу при поступлении
запросов на обработку защищаемых данных, подготовку персонала объекта и
т. д.
Под
организация
организационным
системы,
построением
адекватно
СЗИ
отражающая
понимается
основные
общая
принципы
построения ОИ. При этом основные элементы СЗИ территориально
привязываются к основным организационным составляющим объекта.
Одним из весьма перспективных вариантов такого построения является
так называемая семирубежная модель защиты (рис. 3.3).
Существо подхода состоит в следующем. Очевидно, что защита
информации в ОИ может быть обеспечена лишь в том случае, если будут
защищены элементы, имеющие отношение к ОИ:
• территория, в пределах которой расположены средства ОИ;
• здания и помещения, в которых размещены средства ОИ;
• ресурсы, используемые для обработки и хранения защищаемой
информации;
• линии (каналы) связи, используемые для сопряжения элементов ОИ и
ОИ с другими (внешними) объектами.
57
Рисунок 3.3. Семирубежная модель СЗИ
Тогда организационное построение СЗИ в самом общем случае может
быть представлено совокупностью следующих рубежей защиты:
• территории, занимаемой ОИ;
• зданий, расположенных на территории;
• помещений внутри здания, в которых расположены ресурсы ОИ и
защищаемая информация;
• ресурсов, используемых для обработки и хранения информации и
самой защищаемой информации: технических ресурсов (средств
обработки информации, технических средств шифрования и т. д.),
устройств
хранения
конфиденциальной
информации
(сейфов,
электронных устройств), самой конфиденциальной информации ее
носителей;
• линий связи, проходящих в пределах одного и того же здания;
• линий (каналов) связи, проходящих между различными зданиями,
расположенными на одной и той же охраняемой территории;
• линий (каналов) связи, выходящих за пределы объекта.
58
При этом в зависимости от требований к уровню безопасности
информации на каждом из рубежей защиты могут быть реализованы
функции одной или нескольких подсистем защиты, указанных выше.
Рассмотрим структурное построение СЗИ. Поскольку СЗИ является
подсистемой системы обработки информации, ее структурное построение
может быть определено по аналогии со структурным построением ОИ.
Рисунок 3.4. Общая структурная схема системы защиты информации
Содержание выделенных структурных компонентов в общем виде
может быть представлено следующим образом. Человеческий компонент
составляют те лица (или группы лиц, коллективы, подразделения), которые
имеют непосредственное отношение к защите информации в процессе
функционирования ОИ. К ним должны быть отнесены:
1)
абоненты ОИ, имеющие доступ к ресурсам и участвующие в обработке
информации;
2)
администрация
объекта,
обеспечивающая
общую
организацию
функционирования системы обработки, в том числе и СЗИ;
59
3)
телефонисты и операторы ОИ, осуществляющие прием информации,
подготовку ее к обработке, управление средствами ВТ в процессе
обработки, контроль и распределение результатов обработки, а также
некоторые
другие
процедуры,
связанные
с
циркуляцией
информационных потоков;
4)
администраторы банков данных, отвечающие за организацию, ведение
и использование баз данных ОИ, а также специалисты, занимающиеся
ведением защищенного документооборота;
5)
обслуживающий персонал, обеспечивающий работу технических
средств ОИ, в том числе и средств СЗИ;
6)
системные программисты, осуществляющие управление программным
обеспечением ОИ;
7)
служба защиты информации, которая несет полную ответственность за
защиту информации и имеет особые полномочия. Если эта служба в
виде самостоятельного подразделения не создается, то ее функции
должны быть возложены на обслуживающий персонал ОИ и
администрацию банков данных с соответствующим изменением ее
организационно-правового статуса.
Ресурсы информационно-вычислительной системы, необходимые для
создания и поддержания функционирования СЗИ, как и любой другой
автоматизированной системы, объединяются в техническое, математическое,
программное, информационное и лингвистическое обеспечение. Состав и
содержание перечисленных видов обеспечения определяются следующим
образом:
• техническое
обеспечение
—
совокупность
необходимых для технической поддержки решения
технических
средств,
всех тех задач по
защите информации, решение которых может потребоваться в процессе
функционирования СЗИ. В техническое обеспечение СЗИ, естественно,
должны быть включены все технические средства защиты которых может
потребоваться в процессе функционирования СЗИ. В техническое,
60
которые могут оказаться необходимыми в конкретной СЗИ. Кроме того, к
ним относятся те технические средства, которые необходимы для решения
задач по управлению механизмами защиты информации;
• математическое обеспечение — совокупность математических методов,
моделей и алгоритмов, необходимых для оценки уровня защищенности
информации и решения других задач по защите;
• программное обеспечение — совокупность программ, реализующих
программные средства защиты, а также программ, необходимых для
решения задач по управлению механизмами защиты. К ним должны быть
отнесены также сервисные и вспомогательные программы СЗИ;
• информационное обеспечение — совокупность систем классификации и
кодирования данных о защите информации, массивы данных СЗИ, а также
входные и выходные документы СЗИ;
• лингвистическое
обеспечение
—
совокупность
языковых
средств,
необходимых для обеспечения взаимодействия компонентов СЗИ между
собой, с компонентами ОИ и внешней средой.
Организационно-правовое
обеспечение
как
компонент
СЗИ
представляет собой совокупность организационно-технических мероприятий
и
организационно-правовых
актов.
Организационно-технические
мероприятия, с одной стороны, участвуют в непосредственном решении
задач по защите (чисто организационными средствами или совместно с
другими средствами защиты), а с другой - объединяют все средства в единые
комплексы защиты информации.
Организационно-правовые
акты
являются
правовой
основой,
регламентирующей и регулирующей функционирование всех элементов
СЗИ. В целом же организационно-правовое обеспечение служит для
объединения всех компонентов в единую систему защиты.
3. Служба защиты информации
В организациях, использующих в своей деятельности сведения с
ограниченным доступом, для разработки и проведения технических
61
мероприятий
установленным
по
защите
Уставом
информации
в
соответствии
с
порядком,
(учредительным
документом)
организации,
создаются соответствующие службы. В соответствии с Законом «О
Государственной тайне» они могут иметь название:
• структурные подразделения по защите государственной тайны;
• структурные подразделения по защите информации.
Конкретное наименование службы определяется в зависимости от
объема и характера выполняемых работ и согласовывается с ведомственным
специальным отделом. Такими наименованиями могут быть служба защиты
информации,
отдел
защиты
информации,
служба
информационной
безопасности и др.
Служба защиты информации, как правило, является самостоятельным
структурным подразделением, подчиненным непосредственно руководителю
и (при наличии) заместителю по безопасности (режиму). При наличии в
организации службы безопасности служба защиты информации входит в ее
структуру.
В структурных подразделениях организации при необходимости могут
создаваться части, группы службы защиты информации или назначаться
приказом руководителя уполномоченные, на которых распространяются
права и обязанности работников указанной службы.
Служба
защиты
информации
относится
к
подразделениям,
непосредственно участвующим в деятельности по выполнению работ с
использованием сведений с ограниченным доступом.
Структура и штаты службы защиты информации определяются
руководителем организации (предприятия) в зависимости от объема и
сложности работ по защите информации. Нормативной правовой базой для
решения этой задачи является комплекс следующих актов:
—
Федеральный закон РФ «О государственной тайне»;
—
руководящие документы Гостехкомиссии при Президенте Российской
Федерации («Защита от несанкционированного доступа к информации»,
62
«Классификация автоматизированных систем и требования по защите
информации»);
—
«Квалификационные характеристики должностей руководителей и
специалистов, обеспечивающих защиту информации» (1993);
—
«Квалификационные характеристики работников режимно-секретных
органов министерств, ведомств, учреждений, предприятий и организаций
Российской Федерации» (1992);
—
«Концепция защиты СВТ и АС от НСД к информации».
Служба
защиты
информации
комплектуется
соответствующими
работниками, отвечающими требованиям квалификационных характеристик
на специалистов по комплексной защите информации.
Назначение и освобождение от должности руководителя службы
защиты
информации
производятся
руководителем
организации
с
письменного согласия ведомственного отдела защиты информации. Там же
до приема дел вновь назначенный руководитель и его заместитель должны
пройти инструктаж. Руководитель службы защиты информации обязан
организовывать и систематически проводить учебу работников службы и
уполномоченных по защите информации в целях повышения деловой
квалификации, уровня знаний и приобретения практических навыков в
выполнении возложенных на службу защиты информации задач.
Работа службы защиты информации проводится в соответствии с
перспективными, годовыми и квартальными планами работ.
Служба защиты информации в своей деятельности руководствуется
законодательством Российской Федерации, нормативными документами по
защите информации, приказами и указаниями вышестоящего министерства
(ведомства) России и руководителя организации.
Проведение любых мероприятий и работ с использованием сведений с
ограниченным доступом без принятия необходимых мер защиты не
допускается. С этой целью служба защиты информации обеспечивается
необходимыми
производственными
помещениями,
оборудованием,
63
вычислительной
техникой,
контрольно-измерительной
аппаратурой
и
расходными материалами.
Основными задачами службы защиты информации являются:
—
обеспечение
и
организация
разработки
перечней
сведений
конфиденциального характера;
—
выявление, локализация и оперативное пресечение возможных каналов
утечки защищаемой информации в процессе повседневной деятельности и в
экстремальных ситуациях;
—
анализ
возможностей
возникновения
новых
каналов
утечки
и
разработка методов и рекомендаций по их пресечению;
—
профилактическая деятельность, направленная на предотвращение
открытия потенциальных каналов и источников утечки информации;
—
анализ
и
оценка
реальной
опасности
перехвата
информации
техническими средствами негласного съема информации, предотвращение
возможных несанкционированных действий по уничтожению, модификации,
копированию и блокированию информации;
—
обеспечение режима конфиденциальности при проведении всех видов
деятельности,
включая
различные
встречи,
переговоры,
совещания,
связанные с деловым сотрудничеством как на национальном, так и на
международном уровнях;
—
изучение, анализ и оценка состояния системы технической защиты
информации,
разработка
предложений
и
рекомендаций
по
ее
совершенствованию.
В соответствии с задачами служба защиты информации выполняет
следующие общие функции.
1.
Организация и обеспечение режима ограничения доступа к
источникам и носителям защищаемой информации.
2.
Организационно-правовое и методическое обеспечение работ по
регулированию отношений, связанных с использованием сведений с
ограниченным доступом.
64
3.
Обследование
производственной
и
административной
деятельности для выявления и закрытия возможных каналов утечки
конфиденциальной информации, ведение учета и анализ нарушений режима
безопасности информации.
4.
Организация и проведение служебных расследований по фактам
нарушения
правил
функционирования
системы
технической
защиты
информации.
5.
Обеспечение строгого выполнения требований нормативных
документов по защите информации.
6.
Осуществление руководства и контроля за деятельностью
подразделений
защиты
информации
в
структурных
подразделениях
организации при их наличии.
7.
Регулярное
проведение
учебы
сотрудников
по
всем
направлениям защиты информации.
8.
Ведение учета технических средств, в том числе специальных
хранилищ, средств вычислительной техники, используемых для работы с
данными ограниченного распространения.
9.
Разработка
совместно
с
руководителями
структурных
подразделений организационно-распорядительных документов по вопросам
защиты информации в организации, обеспечение их утверждения в
установленном порядке.
10.
Проведение
профилактической
работы
с
сотрудниками
структурных подразделений организации по соблюдению требований при
работе с защищаемой информацией ограниченного доступа.
11.
Создание специального информационно-справочного фонда по
вопросам защиты информации.
12.
Сбор и анализ сведений по различным аспектам защиты
информации для использования в работе.
65
13.
Обеспечение
своевременного
выявления
недостатков
и
совершенствование комплекса мероприятий по реализации политики защиты
информации в организации.
14.
Сбор,
аналитическая
обработка
и
оценка
сведений
о
потенциальных и реальных конкурентах, в том числе зарубежных, с целью
выявления возможных противоправных действий по добыванию ими
охраняемых сведений и перекрытия каналов утечки информации.
Основными функциями службы защиты информации по организации
подготовки, издания, хранения и использования документов с ограниченным
доступом являются:
1)
обеспечение
организации
и
ведения
делопроизводства
конфиденциального характера;
2)
организация проведения служебных расследований по фактам
разглашения конфиденциальных сведений, а также утраты документов,
содержащих такие сведения;
3)
контроль за соблюдением установленного порядка изменения
условных и открытых наименований тем, работ, специзделий и т. п.;
4)
контроль за соблюдением исполнителями правил обращения с
конфиденциальными документами.
Основными функциями службы защиты информации по организации и
обеспечению режима ограничения доступа являются:
1.
Разработка
подразделений
совместно
номенклатуры
с
руководителями
должностей
работников,
структурных
подлежащих
оформлению на допуск к сведениям конфиденциального характера.
2.
Ограничение по режиму допуска и доступа к сведениям
конфиденциального характера.
3.
Ведение
учета
специзделий,
организация
контроля
за
обеспечением требований режима конфиденциальности уполномоченными
лицами в структурных подразделениях, проведение проверок наличия
специзделий.
66
Участие в проведении мероприятий по соблюдению режима
4.
конфиденциальности при осуществлении прямых связей с зарубежными
странами.
5. Участие в подготовке приказов и распоряжений по вопросам
обеспечения режима конфиденциальности проводимых работ.
Основными функциями службы защиты информации от ее утечки по
техническим каналам являются:
Обследование
1.
объекта
с
целью
выявления
потенциально
возможных каналов утечки информации.
Формирование перечней каналов утечки информации на основе
2.
анализа моделей технических разведок и угроз.
Разработка и внедрение средств инженерно-технической защиты
3.
информации и контроля их эффективности.
Анализ
4.
эффективности
применения
средств
защиты
и
контрольно-измерительной аппаратуры.
Установка,
5.
монтаж,
наладка
и
эксплуатация
комплекса
инженерно-технических средств защиты информации.
Обеспечение защиты в системах связи от прослушивания,
6.
разрыва
линий, фальсификации
и ложных
сообщений; обеспечение
юридической значимости электронных документов.
7.
Регистрация, сбор, хранение, обработка и выдача сведений о
событиях, касающихся законных обращений, ошибочных и незаконных
обращений;
аналитико-синтетическая
обработка
зарегистрированных
сведений.
8.
Оптимизация
вычислительных
ресурсов
использования
путем
контроля
информационных
параметров
и
надежности
технических средств, а также выявление и прогнозирование критических
ситуаций.
9.
Контроль и поддержание целостности ресурсов АСОД и среды
исполнения прикладных программ.
67
Служба зашиты информации имеет право:
1.
Запрашивать
и
получать
в
пределах
своей
компетенции
необходимые сведения и материалы для организации и проведения работ по
вопросам защиты информации.
2.
Контролировать деятельность структурных подразделений по
выполнению ими требований по защите информации.
3.
порядке
Разрабатывать и направлять на утверждение в установленном
проекты
организационных,
распорядительных, нормативно-
методических документов по защите информации; принимать участие в
разработке
организационно-технической
документации
в
части
формирования требований по обеспечению защиты информации.
4.
Привлекать в установленном порядке по согласованию с
руководством организации необходимых специалистов и специальную
контрольно-измерительную
аппаратуру
для
разработки
решений,
мероприятий, нормативно-методических документов по вопросам защиты
информации, а также для проведения контроля и оценки эффективности
принятых мер.
5.
Вносить предложения руководителю организации о приостановке
работ в случае обнаружения утечки или предпосылок к утечке информации,
содержащей сведения с ограниченным доступом, и несанкционированного
доступа к ней.
6.
Получать в установленном порядке лицензии на выполнение
работ по защите информации и при ее получении оказывать услуги в этой
области другим органам (организациям, предприятиям).
7.
Участвовать в расследовании причин выявленных нарушений
установленных требований и норм в области защиты информации.
8.
В необходимых
организации
предоставления
случаях
требовать от должностных
письменных
объяснений
по
лиц
фактам
установленных нарушений режима.
68
На
руководителя
службы
защиты
информации
возлагается
персональная ответственность за:
• обеспечение установленного порядка функционирования системы
защиты информации;
• оформление разрешительной документации (лицензий и т. д.) на
выполнение
специальных
исследований
и
работ
по
защите
информации;
• выполнение указаний и поручений руководства, плана работы службы;
• своевременную разработку положений о структурных подразделениях
службы и должностных инструкций ее работников;
• создание необходимых условий труда для работников службы;
• соблюдение трудовой и производственной дисциплины работниками
службы.
На сотрудников службы защиты информации возлагается персональная
ответственность за обеспечение установленного порядка функционирования
системы защиты информации в пределах их функций, определяемых в
должностных инструкциях.
Служба защиты информации по характеру деятельности находится в
тесном взаимодействии с:
• руководителями
структурных
подразделений
организации
и
подведомственной сети — по вопросам функционирования, контроля и
проверки системы защиты информации, подготовки и предоставления
необходимых руководству материалов по профилю деятельности
службы;
• юридической службой — по правовым вопросам, связанным с
обеспечением защиты информации;
• службами кадров — по вопросам подбора, расстановки кадров,
проведения проверочных мероприятий, повышения квалификации
сотрудников, предоставления льгот и оплаты труда;
69
• постоянно действующей технической комиссией (ПДТК) — по
вопросам эффективности и совершенствования системы защиты
информации;
• службами материально-технического снабжения и хозяйственного
обслуживания.
Служба
защиты
информации
организует
при
необходимости
взаимодействие с аналогичными подразделениями сторонних организаций,
участвующими в выполнении совместных программ.
Служба защиты информации проводит свою работу во взаимодействии
с представителями территориальных органов ФСБ, ФСО, Гостехкомиссии
России, военными представительствами, правоохранительными органами,
другими министерствами и ведомствами.
ТЕМА 4. Организация и обеспечение работ по защите
информации
1. Общее содержание организации и обеспечения работ по защите
информации
По мере разработки теоретических основ решения этой проблемы
сформировалось понятие «обеспечение защиты информации» как процесс
реализации
комплекса
различных
мероприятий
по
обеспечению
информационной безопасности, объединенных единой целевой программой.
Основными из них являются:
1)
определение требований к системе защиты информации;
2)
определение и подготовка лиц, ответственных за обеспечение
безопасности информации, а также назначение исполнителей, которым
поручаются разработка и эксплуатация систем защиты информации;
3)
проектирование, создание и эксплуатация системы защиты
информации объекта;
4)
научно-методологическое
и
документационное
обеспечение
работ по защите информации;
70
установление мер контроля и ответственности за соблюдение
5)
всех правил защиты информации.
Рассмотрим
эти
направления
деятельности,
характерные
для
обеспечения информационной безопасности объекта обработки информации,
подробнее.
1. Определение требований к системе защиты информации.
Необходимая степень защиты информации, обрабатываемой на
объекте, задается конкретными требованиями к защите, обусловленными
спецификой системы обработки информации. Эти требования определяются
совокупностью следующих факторов:
1) характером обрабатываемой информации. С точки зрения
требуемой защиты информацию можно подразделять на общедоступную,
конфиденциальную, служебную, секретную и совершенно секретную.
Деление может несколько отличаться от приведенного в зависимости от
области использования информации (коммерческая или государственная
тайна и т. д.). Процесс отнесения информации к различной степени
конфиденциальности также может быть различным. Так, отнесение сведений
к государственной тайне и присвоение ей соответствующей степени
секретности производятся в соответствии с государственными правовыми
актами, например «Перечнем сведений, составляющих государственную
тайну»,
утверждаемым
конфиденциальности
Президентом
сведений,
РФ.
Определение
составляющих
же
коммерческую
степени
тайну,
производится самим владельцем этой информации;
2)
объемом
обрабатываемой
информации.
Этот
фактор
определяется количеством и разнообразием носителей конфиденциальной
информации на объекте;
3)
продолжительностью
пребывания
информации
в
системе
обработки. При этом информация разового использования подлежит защите
в процессе подготовки, ввода, решения задач и выдачи результатов решения,
после чего должна быть уничтожена во всех элементах объекта. Информация
71
временного хранения дополнительно к предыдущему подлежит защите в
течение объявленного времени хранения и после этого уничтожается.
Информация
длительного
хранения
подлежит
постоянной
защите,
уничтожение ее должно осуществляться по специальным командам;
4)
структурой системы обработки информации. Исходя из
требования о необходимости защиты информации во всех структурных
элементах систем обработки, степень сложности этой структуры также
должна определять уровень защиты информации;
5)
видом
определяется
типом
защищаемой
носителей
информации.
Данное
конфиденциальной
требование
информации.
Так,
очевидно, уровень защиты только документальной информации отличается
от защиты информации, выраженной в виде образов объекта, сигналов,
полученных в результате ее обработки техническими средствами;
6)
технологическими схемами и организацией процесса обработки
информации. Этот фактор вытекает из требований функциональной
комплексности защиты, подразумевающих необходимость ее проведения во
всех режимах и на всех технологических участках системы обработки;
7)
этапом жизненного цикла. Эти требования формулируются так:
• на этапе создания систем обработки информации должно быть обеспечено
соответствие возможности системы защиты требованиям к защите
информации, сформулированным в задании на проектирование, кроме
того, должно быть исключено несанкционированное включение элементов
в компоненты системы;
• на этапе функционирования в пассивном состоянии системы обработки
должна быть обеспечена надежная защита хранящейся информации и
исключена возможность несанкционированного изменения компонентов
системы;
• на этапе функционирования в активном режиме дополнительно должна
быть обеспечена надежная защита во всех режимах обработки;
72
8)
условиями функционирования объекта обработки информации.
Определяется
возможностями
злоумышленника
по
добыванию
конфиденциальных сведений.
В зависимости от возможности выполнения этих требований объекты
обработки могут быть отнесены к соответствующим классам защищенности,
как правило, устанавливаемым государственными стандартами. Так, в США
документом,
определяющим
критерии
оценки
защищенности
вычислительных систем и механизмы их защиты, является «Оранжевая
книга», представляющая собой стандарт «Критерии оценки гарантированно
защищенных вычислительных систем в интересах Министерства обороны
США», принятый в 1983 г. В соответствии с этим стандартом все
автоматизированные системы делятся на классы, составляющие четыре
группы: D — с минимальной защитой, С — с индивидуальной защитой, В —
с мандатной защитой, А — с верифицированной защитой.
Аналогичный подход реализован и в руководящем документе
Государственной
технической
автоматизированных
комиссии
России
«Классификация
систем и требования по защите информации»,
выпущенном в 1992 г.
2. Определение и подготовка лиц, ответственных за обеспечение
безопасности информации, а также назначение исполнителей, которым
поручаются разработка и эксплуатация систем защиты информации.
Система
защиты
предназначению
и
информации
структуре
по
является
своему
функциональному
человекомашинной
системой.
Специфика ее такова, что человек является в ней не только основным
структурным элементом, но и носителем сведений как об информации,
обрабатываемой в системе, так и о принципах построения самой системы
защиты. Следовательно, сотрудники, участвующие в процессе защиты
информации,
потенциально
могут
стать
как
непосредственными
источниками конфиденциальной информации для противника, так и
косвенными источниками таких угроз информации, как сбои и ошибки в
73
эксплуатации систем обработки. Так, по статистике, в 70-80% случаев утечка
секретной информации происходит по вине сотрудников объектов, на
которых она обрабатывается. Все это подчеркивает особую актуальность
работ, проводимых в рассматриваемом направлении. Основными видами
деятельности здесь являются:
• подбор людей, допускаемых к секретным работам, их проверка и
изучение;
• обучение лиц, допущенных к секретам, правилам их сохранения;
• воспитание у секретоносителей понимания важности сохранения в тайне
доверенных им секретных или конфиденциальных сведений;
• стимулирование
заинтересованности
в
работе
с
засекреченной
информацией и сохранения этих сведений в тайне;
• создание угрозы ответственности и серьезных последствий для них за
несохранение в тайне по их вине доверенных им секретов и т. д.;
• иные меры (добровольное согласие на ограничение прав человека,
допускаемого к работе с засекреченной информацией, в частности запрет
на работу по совместительству у конкурентов, вступление без служебной
необходимости в контакты с иностранцами, ограничения на выезд и
возможные служебные командировки за границу и др.).
В зависимости от важности обрабатываемой информации уровень
требований к подбору персонала может быть разным. Так, для сотрудников,
работающих
требования
с
информацией,
строго
составляющей
регламентируются
государственную
ведомственными
тайну,
приказами
и
инструкциями.
При реализации рассматриваемого направления работ по защите
информации важными являются не только подбор и расстановка персонала,
но и создание необходимой штатно-должностной структуры службы защиты
информации
объекта,
способной
обеспечить
требуемый
уровень
безопасности в процессе функционирования объекта обработки информации.
74
3. Проектирование, создание и эксплуатация системы защиты
информации объекта.
Данное направление работ является наиболее ресурсоемким как по
времени, необходимому для его проведения, так и по материальным и
трудовым затратам.
Работы по созданию систем защиты информации, как и любых других
сложных систем, выполняются в три этапа:
—
подготовительный;
—
основной;
—
заключительный.
Назначение
и
общее
содержание
названных
этапов
является
общепринятым:
—
на подготовительном этапе изучаются и оцениваются все
факторы, влияющие на защиту информации;
—
о
на этапе основных работ принимается принципиальное решение
необходимом
уровне
защиты,
а
также
осуществляется
проектирование системы защиты;
— на этапе заключительных работ производится оценка системы
защиты, причем как по критериям эффективности, так и по техникоэкономическим показателям.
Однако, как показал многолетний опыт (в том числе и зарубежный),
организации защиты информации на ОИ, какими бы ни были совершенными
проект системы защиты и его первоначальная реализация, в процессе
функционирования
объекта
неизбежно
возникают
непредвиденные
обстоятельства, обусловливаемые, с одной стороны, действиями факторов, не
учтенных (или неадекватно учтенных) на этапе создания системы защиты, а с
другой — изменениями, происходящими в процессе функционирования этих
объектов
Функционирование СЗИ организуется в соответствии с принципами
управления защитой информации.
75
Управление процессами функционирования систем защиты
Основными макропроцессами управления в системах организационнотехнологического типа являются планирование, оперативное управление,
календарно-плановое руководство выполнением планов и обеспечением
повседневной деятельности системы управления.
Планирование защиты информации есть процесс обработки программы
оптимального
обработки
использования
данных
в
имеющихся
предстоящий
средств
(планируемый)
защиты.
При
период
этом
под
оптимальностью использования СЗИ понимается достижение одной из двух
целей (в зависимости от постановки задачи): или достижение максимальной
защищенности информации при данных расходах на защиту (прямая
постановка задачи), или достижение заданной защищенности информации
при минимальных расходах на защиту (обратная постановка задачи).
Основные задачи оперативного управления защитой информации в
комплексных системах обработки данных заключаются в:
—
регулировании использования СЗИ в процессе ее обработки;
—
сборе, обработке и организации массивов (баз) оперативных
данных, относящихся к защите информации;
—
непрерывном распознании ситуации относительно защищенности
информации;
—
принятии
решения
на
оперативное
вмешательство
в
функционирование СЗИ;
—
реализации принятых решений;
—
анализе и прогнозировании развития ситуации;
—
разработке предложений по корректировке планов защиты
информации;
—
обработке
учетно-отчетных
документов,
относящихся
к
функционированию СЗИ.
Основное содержание действий должностных лиц диспетчерской
службы может быть сведено к такой последовательности:
76
1)
проверка
достоверности
имеющихся
данных
о
характере
ситуации;
2)
принятие неотложных мер по спасению людей и материальных
ценностей;
3)
принятие мер по пресечению злоумышленных действий и
задержанию нарушителя;
4)
принятие мер по локализации дестабилизирующего воздействия
нарушителя на информацию;
5)
доклад руководству о ситуации и принятых мерах.
Основными функциями календарно-планового руководства являются
принятие текущих решений, связанных с обеспечением выполнения текущих
плановых задач, и слежение за ходом выполнения плана.
Осуществление первой функции заключается в принятии плановых
решений, то есть таких, которые обусловливаются естественным ходом
выполнения плана. В дальнейшем перечень, содержание и сроки принятия
таких решений должны стать составной частью самого плана.
Слежение за ходом выполнения плана заключается в периодической
оценке соответствия действительного протекания управляемой деятельности
запланированному.
действительного
Если
хода
в
какой-либо
деятельности
от
момент
времени
отклонение
запланированного
превысит
допустимую норму, то в план должны быть внесены необходимые
коррективы.
Для обеспечения регулярной и эффективной защиты информации
большое значение имеет повседневная деятельность всех органов и лиц,
имеющих отношение к защите, и особенно служб защиты информации ОИ.
На
практике
эта
деятельность
регламентируется
соответствующими
нормативными документами, разрабатываемыми на каждом объекте. При
этом
количество
организационных
мероприятий
по
обеспечению
информационной безопасности, реализуемых на ОИ, столь велико, что имеет
смысл выделить лишь основные направления такой работы.
77
1. Обеспечение режима секретности:
—
организация
специального
делопроизводства,
включающего
документирование информации, обеспечение документооборота, учет,
надежное хранение и своевременное уничтожение документов и
носителей, контроль их наличия, правильности и своевременности
исполнения;
—
организация и поддержание надежного пропускного режима;
—
подбор, оценка и расстановка обслуживающего персонала;
—
реализация специальных правил работы с ЭВТ и другими
техническими средствами обработки конфиденциальной информации.
2. Противодействие техническим разведкам:
—
оценка и своевременное выявление угроз утечки информации по
техническим каналам;
—
обеспечение
выполнения
специальных
требований
к
помещениям, где обрабатывается конфиденциальная информация;
—
организация специальных проверок и специальных исследований
технических средств обработки конфиденциальной информации;
—
организация специальных проверок помещений на наличие
закладных устройств;
—
аттестация объектов, сертификация технических средств защиты
информации;
—
определение контролируемых зон ОИ;
—
контроль эффективности технической защиты информации.
III. Обеспечение безопасности шифрованной связи:
—
разработка, распределение, доставка и надежное хранение ключей
шифрования;
—
контроль выполнения требований к аппаратуре шифрования и правил
обращения с ключевыми документами.
4.
Научно-методологическое
и
документационное
обеспечение
работ по защите информации.
78
Анализ процесса управления защитой информации показывает, что
наиболее существенную группу задач, подлежащих решению в повседневной
деятельности органов управления служб защиты информации, составляют
задачи информационного обеспечения системы управления. Учитывая их
важность, данный вопрос ниже будет рассматриваться отдельно.
5.
Установление мер контроля и ответственности за соблюдение
всех правил защиты информации.
Основной задачей контроля СЗИ является получение сведений о
параметрах и показателях безопасности информации и эффективности
функционирования
механизмов
защиты для выработки
необходимых
воздействий на контролируемую систему или условия ее функционирования
с целью обеспечения максимального эффекта от использования ее по
назначению.
С точки зрения непосредственной организации контроля на ОИ
необходимо объединить два его варианта:
а)
контроль состояния параметров средств защиты, средств обработки
информации
безопасности
и
качества
выполнения
информации,
мероприятий
определяющих
значения
по
обеспечению
контролируемых
показателей уровня безопасности;
б)
контроль наличия (проявления) типовых нарушений правил защиты
информации.
Организация контроля по первому варианту сопряжена с решением
следующих задач:
—
обоснованием
перечня
и
содержания
тех
показателей
безопасности, которые должны контролироваться;
—
формированием минимального множества параметров средств
защиты, средств обработки информации и качества выполнения
организационных мероприятий, которые могут быть измерены (сняты)
и получены в результате проверок и по значениям которых можно
определить значения контролируемых показателей;
79
—
есть
определением точек съема значений указанных параметров, то
тех
из
них
в
структуре
объекта,
обрабатывающего
конфиденциальную информацию, где могут быть зафиксированы
значения каждого из этих существенно значимых параметров;
—
определением
способов
съема
(определения)
указанных
параметров;
—
выработкой методов определения (проверки, верификации)
значений параметров;
—
разработкой методов определения текущих и прогнозирования
ожидаемых значений показателей уровня безопасности информации на
объекте.
Положительным
аспектом
является
то,
что
непосредственному
наблюдению подвергаются элементарные параметры. Это затрудняет
злоумышленникам выбор путей обхода контроля. В то же время для
реализации задач множество контролируемых параметров должно быть
достаточно
представительным,
а
сами
параметры
—
достаточно
элементарными, с тем чтобы по ним трудно было определить (вскрыть)
характер контролируемых показателей безопасности.
Контроль по второму варианту заключается в том, что в его процессе
отыскиваются такие нарушения требований безопасности информации,
которые имели место ранее или возможность которых предполагается
гипотетически. При этом организация контроля предполагает решение
следующих задач:
—
формирование
и
регулярную
корректировку
системы
потенциально возможных нарушений правил защиты;
—
определение
вероятностных
характеристик
возможностей
проявления каждого из потенциально возможных нарушений;
—
установление возможных мест, условий и характера проявления
каждого из нарушений;
80
—
формирование и перманентное уточнение и пополнение каталога
возможных нарушений.
Преимуществами второго варианта являются предметная наглядность
контроля и полный учет опыта функционирования
систем защиты
информации. К недостаткам можно отнести ориентацию преимущественно
на предшествующий опыт и незамаскированность для нарушителей с точки
зрения поиска возможных путей уклонения от контроля.
Анализ методов контроля безопасности информации, предлагаемых
зарубежными
специалистами,
обеспечивается
показал,
применением
что
решение
этих
автоматизированных
вопросов
систем
с
соответствующим программным и аппаратным обеспечением, а также
выполнением организационно-технических мер по защите информации.
Кроме того, как указывается в зарубежной печати, контроль защищенности
информации
начинает
осуществляться
и
через
контроль
действий
обслуживающего персонала путем ретроспективного сравнительного анализа
данных об их деятельности, фиксируемых в регистрационных журналах и
профилях
полномочий.
Целью
такого
анализа
является
выявление
отклонений фактических действий контролируемых лиц от действий,
разрешенных им профилями полномочий. Предполагается, что на основе
статистического анализа таких отклонений можно будет определить характер
намерений соответствующих лиц, в том числе и злоумышленных. В целом же
последние исследования зарубежных специалистов подтверждают вывод о
том, что обеспечить необходимую степень конфиденциальности можно,
лишь применяя комплексный подход
к решению проблем защиты
информации, и в том числе к созданию комплексных систем контроля ее
безопасности.
2. Организационно-правовое и документальное обеспечение работ по ЗИ
Неотъемлемой составной частью системы защиты, своеобразным
базисом процесса защиты информации является система документального
81
обеспечения данного процесса, самостоятельным компонентом которой
являются типовые документы. При этом под типовым понимается такой
документ, который отработан корректно, прошел апробацию и утвержден
полномочными органами в качестве типового (или, по крайней мере, получил
всеобщее признание в кругу специалистов). Какого-либо утвержденного или
хотя бы общепризнанного перечня типовых документов в настоящее время
нет. Однако большой объем работ по защите информации, их многообразие,
сложность и значительное количество участников в осуществлении дают
основания утверждать, что чем лучше станет документационное обеспечение
этих работ, тем эффективнее будут решаться все проблемы защиты
информации.
Основное назначение документов может быть сформулировано
следующим образом:
—
обеспечение
научно-методологического
и
концептуального
единства при решении всех вопросов ЗИ;
—
создание условий для однозначного понимания и практической
реализации основных положений унифицированной концепции защиты
информации;
—
доведение необходимых данных до всех органов и лиц,
участвующих в защите информации;
—
обеспечение нормативно-правового регулирования процессов ЗИ;
—
регистрация носителей конфиденциальной информации и работ,
связанных с информационной безопасностью.
В соответствии с этим документы должны образовывать единую
систему документов, представляющую собой упорядоченный перечень групп
документов,
разрабатываемых
по
вопросам,
относящимся
к
защите
информации на ОИ.
Структура системы типовых документов (рис. 4.1) может быть
представлена совокупностью пяти групп документов:
1)
справочно-информационных;
82
2)
нормативно-правовых;
3)
руководящих методических материалов;
4)
инструктивных;
5)
регистрационных.
Рисунок 4.1. Структура системы документального обеспечения ЗИ
К первой группе относятся документы, которые содержат полную
информацию обо всех аспектах проблемы ЗИ и признаны подавляющим
большинством специалистов в этой сфере (словари, справочники и т. д.);
стандарты, утвержденные полномочными органами и являющиеся эталонами
основных понятий в области ЗИ, характеристик средств и способов защиты;
технические описания средств защиты информации.
Ко
второй
группе
относятся
документы,
составляющие
законодательную базу обеспечения информационной безопасности. Это
законы и подзаконные акты, определяющие юридическую ответственность
участников процесса защиты и законодательно регулирующие основные
вопросы информационной безопасности. К данной группе относятся и
нормативно-правовые
документы
ведомственного
уровня,
требующие
обязательного их выполнения при обеспечении защиты информации
(например, требования к защите информации и нормы защищенности,
83
специальные требования по размещению и монтажу ОИ, порядок и правила
обращения с носителями секретных данных).
К руководящим методическим материалам (РММ) — третья группа —
относится совокупность таких документов, которые содержат полное и
систематизированное описание порядка и принципов проведения работ по
ЗИ
и
носят
рекомендательный
характер.
Практика
организации
и
обеспечения работ по ЗИ показывает, что РММ обычно составляют наиболее
представительную
группу
документов,
регламентирующих
различные
аспекты работ. На ОИ можно выделить разновидности РММ, определяющие
следующие методики:
—
оценки безопасности информации;
—
измерения технических каналов утечки информации и установления
контролируемых зон;
—
применения технических и организационных средств защиты;
—
проектирования СЗИ и др.
К четвертой группе относятся систематизированные наборы типовых
инструкций для различных категорий подразделений и лиц по ЗИ,
утвержденных полномочными органами с учетом их специфики.
К регистрационным документам — пятая группа — относятся учетные
документы, позволяющие контролировать наличие конфиденциальных
документов и изделий и ограничивать несанкционированный доступ к ним, а
также
эксплуатационно-техническая
документация,
необходимая
для
регистрации всех событий, происходящих в процессе защиты информации,
для получения возможности последующей оценки безопасности информации
на объекте.
3. Защита информации в экстремальных ситуациях
Рассмотренная выше относительно стройная система организационных
мер по обеспечению информационной безопасности на ОИ может быть
довольно
быстро
нарушена
при
возникновении
так
называемых
84
экстремальных, или чрезвычайных, ситуаций (ЧС). К таким можно отнести
любые ситуации, грозящие серьезным материальным или моральным
ущербом для организации. Это проявляется в утечке, разглашении, утрате и
других видах проявления уязвимости конфиденциальной информации, что,
естественно, также грозит существенными экономическими потерями.
ЧС можно разделить на внутренние (куда входят конфликтные
ситуации и техногенные аварии и сбои) и внешние (которые составляют
общественные, правовые, экономические кризисные ситуации, стихийные
бедствия, преступные действия и диверсии).
К
общественным
революции,
ЧС
перевороты,
можно
отнести
террористические
беспорядки,
акты,
забастовки,
межнациональные
конфликты, войны; к конфликтам — межличностные, иерархические и
управленческие конфликты; к преступным действиям — угрозы со стороны
организованной преступности, коррупцию, неорганизованную преступность
(одиночки); к экономическим — ухудшение экономического положения в
стране или регионе, банкротство, блокирование счетов, скупку контрольного
пакета акций, сверхсильную конкуренцию и т. п.; к правовым — принятие,
отмену или изменение законов, обеспечивающих деятельность предприятия
и
СЗИ,
законные,
неправомерные
и
незаконные
действия
правоохранительных органов; к природным — землетрясения, наводнения,
оползни, ураганы, аномальные температуры, засухи, вирусные заболевания и
т. п.; к техногенным — пожары, взрывы газа, разрушение зданий,
компьютерные вирусы, аварии на электростанциях и телефонных станциях,
прорывы газо- и водопроводов (диверсии могут маскироваться под
техногенные аварии, при этом будут отличаться умышленностью и
направленностью воздействия).
Любая ЧС характеризуется определенным набором деструктивных
факторов, которые воздействуют на СЗИ. Факторами ЧС можно назвать
внешние
или
внутренние
комплексные
процессы,
протекающие
в
определенной сфере, оказывающие экстремальное воздействие на систему.
85
Факторы ЧС непосредственно влияют на защищенность информации,
воздействуя также на технические средства ЗИ, сейфы и хранилища,
программное обеспечение и непосредственно на носители информации.
Факторы ЧС воздействуют также на технические средства охраны,
инженерные
сооружения, сотрудников
СЗИ, снижают
управляемость
системы. Влияя на поведение сотрудников СЗИ, ЧС создают условия для
неэффективной работы всей системы защиты информации.
Воздействие любой ЧС на СЗИ носит комплексный (системный)
характер и осуществляется одновременно по нескольким направлениям.
Каждая ЧС содержит целый набор из нескольких поражающих факторов.
Так,
например,
обязательными
спутниками
любой
ЧС
являются
психологический и экономические факторы.
Опасность любой ЧС во многом заключается в том, что некоторые ЧС,
не оказывая прямого влияния на безопасность информации, создают условия
для реализации информационной угрозы. Таковы, например, экономические
ЧС и внутренние конфликты. Это необходимо учитывать при анализе
информационных угроз, то есть нужно проанализировать, какие ЧС являются
наиболее опасными. Для осуществления надежной ЗИ в любой ситуации
необходимо представлять себе тот комплекс информационных угроз,
который исходит от конкретной чрезвычайной ситуации.
Естественно, для каждой организации или предприятия существуют
собственные закономерности, обусловленные регионом и районом, в
которых они расположены, их экономическим положением и многими
другими факторами. При этом необходимо учитывать общую экономическую
и общественно-политическую обстановку в стране на данный момент и
степень ее влияния на деятельность предприятия.
Одними из наиболее опасных для ЗИ являются ситуации, связанные с
умышленным
нанесением
ущерба
информационной
безопасности
предприятия, — диверсии и преступные проявления. Диверсионные действия
опасны тем, что для достижения поставленных целей могут использоваться
86
любые
средства.
Поэтому
конфиденциальная
информация
в
случае
реализации данной угрозы максимально уязвима. Для объектов ИТКС СН
данный вид ЧС, связанный с решением задач в так называемых «горячих
точках», когда вероятность захвата объекта значительно возрастает,
предусмотрен в соответствующих нормативных документах.
Не менее опасными для СЗИ являются также различные конфликты, в
которые вовлечены сотрудники предприятия. Опасность конфликтов для
СЗИ заключается в том, что в них могут быть вовлечены те сотрудники,
которым доверена конфиденциальная информация, или те, которые отвечают
за
ее
безопасность.
Конфликты
вызывают
чувство
недовольства,
неудовлетворенности. Возникает межличностная напряженность. Особенно
опасны конфликты между руководителями и подчиненными: находясь ниже
по иерархии, подчиненные по понятным причинам часто не могут открыто
конфликтовать и адекватно ответить своим обидчикам, поэтому такой
конфликт
быстро
переходит
в
латентную
стадию,
где
становится
неконтролируемым. Желание отомстить (восстановить справедливость),
вызванное несправедливым отношением со стороны руководителя, может
побудить подчиненного каким-либо образом нанести ущерб безопасности,
желая тем самым наказать руководителя-обидчика. Выбор конкретного
варианта будет зависеть от личностных особенностей сотрудника. Анализ
практической деятельности ОИ показывает, что аналогичные ситуации
являются далеко не редким событием.
Рассматривая влияние экономических ЧС на СЗИ государственных
структур,
необходимо
вероятность
внезапного
отметить,
что,
изменения
несмотря
их
на
незначительную
экономического
состояния,
игнорировать такое влияние нельзя. Оно может проявляться, например, в
том, что в связи с ухудшением экономического состояния страны или
региона
неизбежно
наступает
ухудшение
материального
положения
сотрудников организации, что может привести к увеличению риска
разглашения сведений, составляющих государственную тайну.
87
Наиболее
распространенной
информационной
угрозой
является
«блокирование доступа». И если учесть, что также существует серьезная
опасность уничтожения защищаемой информации, то можно сделать вывод о
необходимости организации резервного массива особо ценной информации.
Этот массив должен быть легко доступен при необходимости, но в то
же время хорошо защищен от максимального количества ЧС.
Каждая ЧС оказывает свое деструктивное влияние на систему в
конкретном направлении, нарушая определенные процессы, воздействуя на
функционирование отдельных элементов или подсистем. Поэтому для
эффективного противодействия ЧС необходимо изучить специфические
направления воздействия ЧС на СЗИ. Эти направления суть совокупность
разнородных
негативных
воздействий, распространяющихся
в
одной
внутренней сфере деятельности предприятия. Условно эту совокупность
воздействий можно назвать поражающими факторами ЧС.
Однако чтобы эффективно противостоять различным ЧС, необходимо
использовать соответствующие каждой ситуации методы и средства
противодействия.
Разработка мер по противодействию должна включать следующие
операции:
—
анализ ситуации и прогноз ее развития;
—
определение имеющихся ресурсов и возможностей их использования
(существующие планы);
—
разработка плана мероприятий по противодействию ЧС;
—
выделение необходимых ресурсов;
—
реализация спланированных мероприятий;
—
контроль реализации;
—
корректировка мероприятий по промежуточным результатам.
Ясно, что для эффективного противодействия ЧС необходима
тщательная предварительная подготовка, от глубины и системности которой
будет зависеть эффективность противодействия системы.
88
Для
наиболее
эффективного
противодействия
ЧС
необходимо
максимально полно представлять себе все особенности данного вида
Происходящих событий. Они должны стать исходными положениями для
построения адекватной и эффективной системы противодействия. При этом
нужно
учитывать
временные,
энергетические
и
информационно-
психологические особенности ЧС, среди которых основными являются:
-внезапность (часто);
-экстремальный характер воздействия на элементы СЗИ;
феномены
-психологические
сотрудников
и
экстремального
руководителей
—
воздействия
дезорганизация
на
(поведение
всех
уровнях
управления);
-системность
ЧС
как
процесса
(содержит
одновременно
несколько
деструктивных факторов);
-системность воздействия ЧС на СЗИ.
Системность воздействия заключается в воздействии на различные
функциональные структуры СЗИ:
-информационную
(получение,
обмен,
обработка
и
распространение
информации);
-организационную (система управления);
-техническую (распределение и использование материальных ресурсов);
-коммуникативную (взаимодействие сотрудников, руководства);
-психику сотрудников.
Например, стихийное бедствие создает ситуацию неопределенности,
разрушает линии связи, технические средства охраны и ЗИ, дезорганизует
управление, влияет на поведение сотрудников.
Любая ЧС, так или иначе, одновременно осуществляет воздействие на
несколько структур, которое существует независимо от наших знаний о нем,
постоянно и неизбежно сопутствуя всем ЧС.
89
Все эти представления о ЧС позволяют сформулировать ряд важных
положений
для организации
работы
при
ее
возникновении
с
ЧС
(противодействие СЗИ в ЧС):
-только комплексные меры по подготовке и противодействию способны
эффективно противостоять экстремальным воздействиям;
-подготовка сотрудников — основной элемент системы противодействия ЧС;
-наибольший эффект (наименьший ущерб) даст не реагирование на уже
случившееся событие, а предотвращение или пресечение ЧС.
Комплексные меры противодействия предполагают создание системы
работы в ЧС, которая состояла бы формально из четырех блоков:
1)
теоретические выкладки (представление обо всех негативных факторах
ЧС, пути и возможности эффективного противодействия);
2)
методическая
поддержка
(разработка
методов
и
средств
противодействия ЧС для СЗИ);
3)
структура системы и ее функционирование (элементы, их роль и
взаимодействие);
4)
нормативное обеспечение (положения, должностные и ситуационные
инструкции, штатные расписания, плакаты, памятки и т. п.).
При этом необходимо помнить, что система будет способна обеспечить
необходимый уровень противодействия только при определенных условиях
(подготовленность, превентивность, системность, полнота, обоснованность,
оптимальность, плановость, своевременность, оперативность, точность и
адекватность),
выполнение
которых
позволит
СЗИ
эффективно
ЧС
предполагает
противостоять экстремальным воздействиям.
Способность
эффективного
противодействия
своевременное разрешение ряда основополагающих задач:
—
выявление основных угроз для СЗИ;
—
разработка концепции (подход, основные принципы) безопасности
СЗИ;
—
определение стратегии действий СЗИ по обеспечению безопасности;
90
—
проектирование системы противодействия ЧС;
—
создание
подразделений
структуры
и
и
механизма
должностных
лиц,
согласования
действий
занимающихся
всех
обеспечением
безопасности;
—
определение плана конкретных мероприятий по реализации этой
стратегии;
—
проведение обследования СЗИ на предмет уязвимости для ЧС
(надежность системы противодействия);
—
постоянный мониторинг состояния СЗИ и контроль проводимых
мероприятий.
В
заключение
хотелось
бы
еще
раз
подчеркнуть
значение
человеческого фактора для противодействия ЧС. Большинство их, так или
иначе, воздействуют на эмоциональное состояние и поведение человека.
Поэтому персонал можно считать наиболее уязвимым местом любой
организации. Кроме того, персонал является наиболее важным звеном в
системе противодействия ЧС, потому что человеческий ресурс — это
универсальный ресурс, способный заменить или компенсировать недостаток
любого другого.
ТЕМА 5. Методика регламентации состава конфиденциальных
документов
1. Этапы определения состава конфиденциальных документов
Документирование конфиденциальной информации включает в себя
определение состава внутренних и отправляемых документов и их
изготовление.
Документирование
важнейшей
составной
конфиденциальной
частью
информации
конфиденциального
является
делопроизводства,
поскольку от количества, состава и правильности оформления документов
зависит качество и эффективность управленческой и производственной
деятельности, достоверность и юридическая сила документов, трудоемкость
91
обработки и качество организации. Объем и характер создаваемых
документов влияют и на организацию работы по их защите. Кроме того, в
процессе документирования создается документальная база, раскрывающая
историю предприятия (организации).
Установление состава издаваемых конфиденциальных документов
направлено не только на предотвращение необоснованного их издания, но и
на исключение избыточной конфиденциальной информации, определение
количества их экземпляров, адресатов, которым они должны направляться,
так
как
не
вызванная
действительной
необходимостью
рассылка
конфиденциальных документов также приводит к утечке информации. На
стадии определения состава издаваемых документов решается вопрос и о
придании
им
необходимой
юридической
силы
по
установлению
должностных лиц, которые должны визировать, подписывать и утверждать
тот или другой документ. В конечном итоге регламентация состава
издаваемых
конфиденциальных
документов
преследует
не
только
исключение необоснованного, но и неконтролируемого оборота. От состава
документированной конфиденциальной информации зависят компетенция и
функции предприятия, характер его деятельности, взаимосвязи с другими
предприятиями, порядок разрешения вопросов. Такой состав закрепляется
перечнями
издаваемых
предприятиям
конфиденциальных
документов
раздельно по документам, отнесенным к коммерческой тайне, и документам,
отнесенным к служебной тайне. Эти перечни должны разрабатываться на
основе и в рамках перечней сведений, составляющих коммерческую и
служебную тайну. Вызвано это тем, что по существующим нормам сначала
определяются сведения, составляющие тот или другой вид тайны. Эти
сведения могут быть зафиксированы как в документах, так и в других
носителях:
памяти
человека,
ЭВМ,
выпускаемой
продукции,
технологических процессах, физических полях и т.п. Поэтому только после
определения состава всех конфиденциальных сведений можно установить те
из них, которые должны документироваться. Таким образом, определение
92
состава издаваемых конфиденциальных документов должно начинаться с
разработки перечня сведений, составляющих коммерческую и служебную
тайну.
Перечень
сведений,
разрабатывается
для
составляющих
каждого
предприятия
коммерческую
самим
тайну,
предприятием
—
обладателем информации. Это вытекает из действующего законодательства,
которым установлено, что состав и объем таких сведений определяется
собственником информации. Таким образом, право предпринимателя на
состав коммерческой тайны является безусловным. Никто не может
диктовать ему, какие сведения относить к коммерческой тайне, за
исключением сведений, которые не могут составлять коммерческую тайну
согласно государственным нормативным актам. Следовательно, состав
сведений, относимых к коммерческой тайне, должен устанавливаться и
изменяться индивидуально, на уровне их обладателя.
В
этой
связи
следует
обратить
внимание
на
имеющиеся
в
отечественной литературе попытки разработки неких типовых перечней
сведений,
составляющих
коммерческую
тайну
любой
коммерческой
структуры независимо от сферы и специфики ее деятельности. Такие
попытки не могут иметь успех, поскольку состав конфиденциальной
информации в коммерческой сфере определяется исходя из специфики
деятельности
данного
конкретного
предприятия:
типа
предприятия,
характера его деятельности, технологии изготовления продукции, объема и
себестоимости продукции, состава и количества поставщиков сырья, условий
рынка быта, направленности интересов конкурентов и т.д. То, что для одних
предприятий является коммерческой тайной, для других может не быть
таковой и даже использоваться в рекламных целях. В целом тенденция
развития
коммерческой
тайны
направлена
на
сохранение
значения
производственной тайны, связанной с новизной и совершенствованием
технологических процессов, т.е. с элементами творческой деятельности, и на
падение значения тайны финансово-торговой, связанной не с элементами
93
новизны, а с элементами индивидуальности и большей или меньшей
степенью исключительности.
Правовым основанием для установления состава сведений, относимых
к коммерческой тайне, являются соответствующие законодательные и
нормативно-правовые акты, а также определение понятия «коммерческая
тайна»,
которыми
предусмотрено,
что
сведения,
составляющие
коммерческую тайну, могут быть и в любой сфере предпринимательской
деятельности, следовательно, и коммерческая тайна может распространяться
на все направления и деятельности предприятия.
Разработкой Перечня сведений, составляющих коммерческую тайну,
должна заниматься постоянно действующая экспертная комиссия (ПДЭК),
которая является важной составной частью организации конфиденциального
делопроизводства. На
ПДЭК
возлагается выполнение, как
правило,
следующих задач:
• разработка
перечней
сведений,
составляющих
коммерческую
и
издаваемых
предприятием
конфиденциальных
служебную тайну;
• разработка
перечней
документов;
• снижение или снятие степени конфиденциальности сведений и грифа
конфиденциальности документов;
• разработка
положения
о
системе
доступа
к
конфиденциальным
документам;
• экспертиза
ценности
конфиденциальных
документов
в
целях
установления сроков их хранения и отбора документов на основе этих
сроков для архивного хранения и уничтожения;
• проведение аналитической работы по предотвращению утечки и утраты
конфиденциальной информации.
Учитывая важность задач ПДЭК, в ее состав следует включать
высококвалифицированных сотрудников, в первую очередь руководителей
подразделений, имеющих доступ к конфиденциальной информации. Кроме
94
того, в состав комиссии должны входить руководитель службы безопасности
предприятия
и
руководитель
подразделения
конфиденциального
делопроизводства, а также руководитель архива предприятия. Председателем
комиссии необходимо назначать одного из заместителей руководителя
предприятия, допущенного ко всем конфиденциальным документам.
ПДЭК создается приказом руководителя предприятия, она должна
работать на постоянной основе с заменой в необходимых случаях отдельных
ее членов. Задачи, функции и порядок работы комиссии определяются
положением о ней. На ПДЭК может быть возложено и проведение
экспертизы ценности открытых документов, чтобы она могла оценивать
значение документов, образующихся в деятельности предприятия в их
совокупности и таким образом более правильно определять сроки их
хранения.
Таким образом, на первом этапе работы на основе анализа задач,
функций, компетенции, направлений деятельности предприятия необходимо:
установить
состав
циркулирующей
на
предприятии
информации,
отображенной на любом носителе, любым способом и в любом виде, а также
с учетом перспектив развития предприятия и его взаимоотношений с
партнерами определить характер дополнительной информации, которая
может возникнуть в результате деятельности предприятия. Эта информация
классифицируется по тематическому признаку.
На втором этапе определяется, какая из установленной информации
должна быть конфиденциальной, и отнесена к коммерческой тайне. Базовым
критерием при этом является возможность получения преимуществ от
использования информации за счет неизвестности ее третьим лицам. Этот
критерий имеет как бы две составляющие: неизвестность информации
третьим лицам и получение преимуществ в силу этой неизвестности. Данные
составляющие взаимосвязаны и взаимообусловлены, поскольку, с одной
стороны, неизвестность информации третьим лицам сама по себе ничего не
значит, если не обеспечивает преимуществ, с другой стороны, преимущества
95
можно получить только за счет такой неизвестности. Конфиденциальность
является правовой формой и одновременно выступает инструментом
обеспечения неизвестности информации.
Преимущества от использования информации, неизвестной третьим
лицам, могут состоять в получении выгоды или предотвращении ущерба и
иметь в зависимости от областей и видов деятельности экономические,
моральные и другие характеристики, выражаться количественными и
качественными показателями.
В
сфере
коммерческой
деятельности
ценность
информации
обусловлена, прежде всего, рыночной потребностью в информации как
источнике
получения
прибыли,
поэтому
отнесение
информации
к
коммерческой тайне позволяет получить прибыль и предотвратить убытки.
Конфиденциальность
такой
информации
создает
для
ее
обладателя
преимущества в конкурентной борьбе и выступает как средство защиты от
недобросовестной конкуренции.
Названный критерий является объективным показателем возможности
отнесения
информации
к
коммерческой
тайне,
мерилом
придания
информации статуса конфиденциальной. Это означает, что при отсутствии
этого критерия нет оснований для перевода информации в категорию
конфиденциальной. Но это не означает, что при его наличии информация во
всех случаях может и должна быть отнесена к коммерческой тайне.
Законодательством введены два ограничения на отнесение информации к
коммерческой тайне.
Первое ограничение состоит в том, что к коммерческой тайне не может
быть отнесена информация, составляющая государственную тайну. Второе
ограничение заключается в том, что к коммерческой тайне нельзя относить
информацию, которая должна быть общедоступной в целях предупреждения
сокрытия правонарушений и предотвращения нанесения ущерба законным
интересам государства, физических или юридических лиц. Перечни такой
информации содержатся в нескольких нормативных актах: Федеральном
96
законе, постановлениях правительства и др. Эти перечни в значительной
мере дублируют друг друга и имеют различную правовую основу. В
Федеральном законе «О коммерческой тайне» имеется специальная статья,
посвященная информации, которая не может составлять коммерческую
тайну. В этой статье обобщены и дополнены сведения, содержащиеся в ранее
изданных нормативных актах.
Запрещение относить к коммерческой тайне ту или иную информацию
не означает, что всю ее может получить по требованию любое юридическое
или физическое лицо. Часть ее, затрагивающая законные интересы этих лиц,
безусловно, должна им предоставляться, а часть предоставляется лишь
соответствующим органам власти, наделенным законодательством правом
контроля такой информации.
Должно быть и третье ограничение, которое хотя и не предусмотрено
законодательством, но диктуется здравым смыслом. Оно состоит в том, что
при переводе информации в разряд коммерческой тайны необходимо
учитывать сопутствующие этому затраты на ее защиту. Если эти затраты
превышают
достигаемые
качественные
показатели,
в
результате
то
защиты
придание
количественные
информации
и
статуса
конфиденциальной теряет всякий смысл.
Следует иметь в виду, что в перечень сведений, составляющих
коммерческую тайну, может включаться не только информация, создаваемая
данным предприятием, но и информация, полученная им без использования
неправомерных средств, при проведении исследований по собственной
инициативе, систематических наблюдений и сбора сведений. Информация
считается полученной правомерно и самостоятельно не зависимо от того, что
ее содержание может совпадать с содержанием коммерческой тайны другого
юридического или физического лица. Кроме того, правомерно полученной
считается конфиденциальная информация, полученная от ее обладателя на
основании договора или в результате правопреемства. Предприятие,
правомерно
и
самостоятельно
давшее
информацию,
одновременно
97
являющуюся коммерческой тайной того юридического или физического
лица,
становится
обладателем
коммерческой
тайны
со
всеми
предусмотренными законодательств правами.
К неправомерным методам (способам) получения информации,
составляющей коммерческую тайну, Федеральный закон «О коммерческой
тайне» относит собирание информации посредством похищения документов,
подкупа или угроз, дачи взятки, введения в заблуждение, нарушения или
подстрекательства (принуждения) к нарушению обязательств о соблюдении
режима коммерческой тайны, а равно иным незаконным способом, без
согласия обладателя коммерческой тайны на передачу коммерческой тайны
третьим лицам.
После
установления
состава
конфиденциальной
информации
определяется степень ее конфиденциальности. Степень конфиденциальности
— это показатель уровня закрытости информации. Уровень закрытости
зависит от величины ущерба, который может наступить при утрате
информации. Чем больше этот ущерб, тем выше должна быть и степень
конфиденциальности. В практике работы предприятий применяются от
одной до нескольких степеней конфиденциальности информации с личными
их наименованиями. Наиболее распространенным является подразделение
информации на две степени: конфиденциально и строго конфиденциально.
Однако Федеральным законом «О коммерческой тайне» установлена одна
степень
конфиденциальности
с
названием
«коммерческая
тайна»,
свидетельствующая лишь о принадлежности информации к коммерческой
тайне. Правда, в законе это названо не степенью, а грифом коммерческой
тайны, но суть от этого не меняется, поскольку по определению гриф
конфиденциальности — это реквизит, свидетельствующий о степени
конфиденциальности сведений, содержащихся в их носителе, проставляемый
на самом носителе и (или) в сопроводительной документации на него.
Наименование грифа должно соответствовать наименованию степени
конфиденциальности.
98
Установление
законом
одной
степени
(одного
грифа)
конфиденциальности информации, составляющей коммерческую тайну,
обусловлено,
по-видимому,
тем,
что
степень
конфиденциальности
определяется собственниками информации, которые могут иметь (а зачастую
так и бывает) разные подходы к определению степени конфиденциальности
однотипной по содержательной части информации. В этом случае при
рассмотрении в судебном порядке дел о неправомерном получении сведений,
составляющих
коммерческую
собственников
установил
тайну,
сложно
правильную
определить,
степень
кто
из
конфиденциальности
информации, так как критерии отнесения информации к той или другой
степени конфиденциальности выбирает ее собственник.
Однако практика показывает, что сведение информации, требующей
разного уровня закрытости, к одной степени конфиденциальности не
позволяет выделить наиболее значимую информацию в целях установления
для нее более жесткого по сравнению с менее значимой режима защиты. Но
закон есть закон, поэтому выход может быть найден путем разделения
информации
по
степеням
конфиденциальности
на
внутреннюю
и
отправляемую. Информация, не подлежащая отправлению в другие
организации, может иметь несколько степеней и наименований грифов
конфиденциальности (например, коммерческая тайна (конфиденциально) или
коммерческая тайна (строго конфиденциально)), а отправляемая — только
одну степень (и гриф) «Коммерческая тайна».
При использовании в организации одной степени конфиденциальности
этот этап работы ПДЭК выпадает.
Третий этап — определение конкретных сроков конфиденциальности
информации либо обстоятельств и событий, при наступлении которых
конфиденциальность снимается. Продолжительность конфиденциальности
информации должна соответствовать срокам действия условий, необходимых
и достаточных для признания данной информации конфиденциальной в
соответствии с законодательством.
99
Результаты работы ПДЭК по окончании третьего этапа оформляются
Перечнем сведений, составляющих коммерческую тайну.
2. Особенности определения состава информации, относящейся к служебной
тайне
Что касается состава информации, являющейся служебной тайной,
следует иметь в виду, что такая информация предусмотрена для организаций
государственной
и
муниципальной
власти
и
подведомственных
им
предприятиям, в коммерческих структурах она используется главным
образом лишь при переписке с органами власти.
В «Положении о порядке обращения со служебной информацией
ограниченного распространения» сказано, что руководитель федерального
органа исполнительной власти в пределах своей компетенции определяет
категории
должностных
лиц,
уполномоченных
относить
служебную
информацию к разряду ограниченного распространения. Эти лица несут
персональную ответственность за обоснованность такого отнесения. Как
видно из этой нормы, она не содержит технологии определения состава
информации, относимой к служебной тайне.
На практике, которая существует уже несколько десятилетий,
используются обычно два варианта определения состава такой информации.
В первом варианте министерства и ведомства разрабатывают единые
отраслевые перечни сведений ограниченного распространения и направляют
их на подведомственные предприятия. Во втором варианте полномочия по
разработке
перечней
передаются
руководителям
подведомственных
предприятий и перечни разрабатываются применительно к каждому
конкретному
предприятию.
Иногда
комбинированный, вариант, при
котором
используется
перечни
и
третий,
разрабатывают и
министерства (ведомства) и на основе этих перечней — подведомственные
предприятия. Технология разработки перечней сведений ограниченного
100
распространения практически не отличается от технологии разработки
перечней сведений, составляющих коммерческую тайну.
Служебная тайна может быть в любой области деятельности органов
власти или предприятия, однако в упомянутом положении определен состав
сведений, которые не могут быть отнесены к служебной информации
ограниченного распространения.
Сведениям, составляющим служебную тайну, установлена одна
степень конфиденциальности: «Для служебного пользования». Перечень
таких
сведений
имеет
форму
перечня
сведений,
составляющих
коммерческую тайну (см. рис. 1), без графы 3.
Перечни сведений, составляющих коммерческую и служебную тайну,
раскрывают тематическое содержание включенных в них сведений. Но
сведения, как уже отмечалось, фиксируются в различном виде на различных
носителях
и
могут
быть
как
документированными,
так
и
недокументированными.
В
сферу
конфиденциального
делопроизводства
входит
только
документированная информация (документы), поэтому из всей совокупности
информации, включенной в перечни сведений, отнесенных к коммерческой и
служебной тайне, нужно выделить состав документируемой информации и
установить виды документов, в которых она должна быть зафиксирована.
Определение
состава
осуществляться
также
конфиденциальных
ПДЭК.
При
этом
документов
следует
должно
руководствоваться
следующими критериями документирования информации:
• необходимость
документированной
информации
для
правового
обеспечения деятельности предприятия, регламентирующего статус
предприятия, права, обязанности и ответственность его сотрудников;
• необходимость документированной информации для управленческой
деятельности;
101
• необходимость документированной информации для производственной
деятельности: научно-исследовательской, конструкторской, проектной,
технологической и др.;
• необходимость документированной информации для управленческой
деятельности;
• необходимость документированной информации как доказательство
источника на случаи возникновения конфликтных ситуаций;
• необходимость передачи информации в официальном виде;
• важность информации как исторического источника, раскрывающего
направления и особенности деятельности предприятия.
В
рамках
критериев
документирования
определение
состава
документируемой информации должно увязываться с решением конкретных
задач. В зависимости от назначения
документируемой
информации
определяются конкретные виды документов, в которых эта информация
должна быть зафиксирована.
В процессе определения необходимых конфиденциальных документов
следует проводить работу по сокращению их количества за счет разработки
интегральных
документов,
в
которые
можно
включить
показатели
нескольких документов, в том числе путем замены разовых первичных
документов накопительными. Однако объединение документов должно
осуществляться с таким расчетом, чтобы в итоге не создавалась возможность
необоснованного ознакомления со всем документом лиц, имеющих доступ
только к части содержания (показателей) документа.
Виды конфиденциальных документов необходимо устанавливать с учетом
оптимального объема содержащейся в них информации, исключающего
избыточную, в том числе дублетную информацию, поскольку избыточная
информация — это конфиденциальные данные, утечка которых может
нанести ущерб предприятию.
После установления состава документов определяется круг лиц, имеющих
право составлять, визировать и подписывать (утверждать) тот или другой вид
102
документа, а также организации, которым данный документ должен
направляться.
3. Основные требования, предъявляемые к составлению и оформлению
перечней конфиденциальных сведений и издаваемых конфиденциальных
документов
Результаты работы ПДЭК по окончанию третьего этапа оформляются
Перечнем
конфиденциальных
коммерческую
тайну),
сведений
который
может
составляющих
(например,
иметь
следующую
форму,
представленную на рис.5.1 .
№
п/п
1
Наименование
сведений
2
Степень
конфиденциальности
3
Срок
конфиденциальности
4
Рисунок 5.1. Примерная форма Перечня сведений, составляющих
коммерческую тайну
Если сведениям установлена одна степень конфиденциальности, то
графа 3 (см. рис. 5.1) опускается.
При
значительном
объеме
конфиденциальных
сведений
они
классифицируются в перечне по разделам, соответствующим сферам
деятельности предприятия.
Перечень подписывается председателем и всеми членами ПДЭК,
утверждается и вводится в действие приказом руководителя предприятия. В
приказе
должны
быть
определены
мероприятия
по
обеспечению
функционирования перечня и контролю его выполнения. С приказом и
перечнем
необходимо
ознакомить
под
расписку
всех
сотрудников
предприятия, работающих с конфиденциальной информацией. Копии
перечня или выписки из него должны быть направлены конфидентам данной
коммерческой тайны. Ими являются физические или юридические лица,
которым в силу служебного положения, договора либо на ином законном
основании известна коммерческая тайна предприятия.
103
Дополнения и изменения состава, включенных в Перечень сведений, а
также изменение степени их конфиденциальности могут осуществляться с
разрешения руководителя предприятия и вноситься в перечень подписями
руководителя подразделения по принадлежности сведений и руководителя
службы безопасности. При существенном изменении состава сведений
перечень должен составляться заново. Об изменении в составе коммерческой
тайны обладатель информации обязан в письменной форме известить
конфидентов данной информации.
Перечни издаваемых конфиденциальных документов составляются
раздельно по каждому виду тайны и могут иметь следующую форму,
представленную на рис. 5.2 .
Грифы
и
сроки
конфиденциальности
документов
должны
соответствовать степеням и срокам конфиденциальности включаемых в
документы сведений, определенным Перечнями сведений, составляющих
коммерческую и служебную тайну. При установлении таким сведениям
одной степени конфиденциальности графа «Гриф конфиденциальности»
опускается.
Если документ подлежит утверждению, то в графе 7 (см. рис. 5.2)
сначала проставляются инициалы и фамилия лица (лиц), подписывающего
документ, затем после слова «УТВЕРЖДАЮ» — инициалы и фамилия лица,
утверждающего документ. При значительном количестве утверждаемых
документов графа может быть разделена на две графы: «Инициалы и
фамилии лиц, имеющих право подписывать документы» и «Инициалы и
фамилии лиц, имеющих право утверждать документы».
104
2
3
4
5
6
7
8
9
Примечание
Куда направляются
Количество
изготовляемых
экземпляров
документов
Наименование
документов
Гриф
конфиденциальност
Срок
конфиденциальност
Инициалы и
фамилии лиц,
имеющих право
Инициалы и
фамилии лиц,
визирующих
Инициалы и
фамилии лиц,
имеющих право
подписывать и
№ п/п
1
10
Рисунок. 5.2. Примерная форма Перечня издаваемых конфиденциальных
документов
К числу документов, подлежащих утверждению в соответствии с
существующими нормативными актами, относятся: уставы, положения о
представительствах, филиалах и структурных подразделениях предприятия,
структура, штатное расписание, должностные инструкции, акты проверок
(ревизий), сметы, расценки на проведение работ и оказание услуг, некоторые
другие.
Если при направлении документов другим предприятиям каждый
адресат не должен знать, кому еще направлен данный документ, то в графе
по соответствующему виду документа после внесения адресатов делается
пометка «раздельное адресование», означающая, что на каждом экземпляре
документа должен проставляться лишь адресат, которому направляется
данный экземпляр.
Графу 10 (см. рис. 5.2) следует использовать (при необходимости) для
указания периодичности составления документов, а также для пометки о
проставлении оттиска печати на соответствующих документах.
Перечни издаваемых документов подписываются председателем и
всеми членами ПДЭК и утверждаются руководителем предприятия. С
перечнями под расписку должны быть ознакомлены все лица, наделенные
правом составлять, визировать, подписывать и утверждать соответствующие
документы.
105
Внесение
возможных
последующих
частичных
уточнений
или
изменений в перечни может быть возложено на руководителя службы
безопасности.
При изменении перечней сведений, составляющих коммерческую и
служебную тайну, соответствующие изменения вносятся и в перечни
издаваемых
конфиденциальных
документов.
О
снятии
грифа
конфиденциальности с отправленных документов должны быть письменно
оповещены предприятия-адресаты.
В случае возникновения необходимости издания разовых документов,
не включенных в перечни, или дополнительных экземпляров документов, не
предусмотренных перечнями, их изготовление может производиться по
совместному разрешению руководителей соответствующего подразделения и
службы
безопасности
(или
делопроизводства).
Одновременно
включения
документов
таких
подразделения
определяется
(дополнительных
конфиденциального
целесообразность
экземпляров)
в
соответствующий перечень.
ТЕМА 6. Организационные меры по защите информации
1. Концепция безопасности предприятия и ее содержание
Концепция безопасности предприятия (учреждения, организации)
представляет собой систему научно обоснованных взглядов на определение
основных направлений, условий и порядка практического решения задач
защиты предприятия и его конных интересов от противоправных действий и
недобросовестной конкуренции.
Разработка концепции безопасности преследует три основные цели.
1.
Выработка общей точки зрения по вопросу обеспечения безопасности
предприятия между руководством предприятия, его сотрудниками и
фирмами, привлекаемыми для организации безопасности, производства
работ по техническому оснащению объекта и др.
106
2.
Создание
основы
для
организации
режимов,
обеспечивающих
безопасность, и принятие управляющих решений по финансированию
соответствующих программ и мероприятий защиты.
3.
Улучшение имиджа предприятия и роста прибыли за счет обеспечения
высокого качества предоставляемых услуг и гарантий безопасности
имущественных, и интересов клиентов.
В ходе разработки концепции безопасности обычно выделяют три
основных этапа.
На первом этапе осуществляется подготовка исходных данных. С этой
целью необходимо собрать следующие документы и материалы:
1)
подробные планы территории и поэтажные планы помещений объекта
защиты с указанием их функционального назначения и строительных
особенностей;
2)
схемы
коммуникаций
(энергоснабжение,
телефонная
связь,
теплоснабжение, внутренние компьютерные сети и прочее) с указанием
способа их прокладки;
3)
чертежи, рисунки или фотографии мест, представляющих опасность с
точки зрения несанкционированного проникновения на объект (туннели
тепловых и водопроводных коммуникаций, тонкие стены, граничащие с
чужой территорией, переходы с крыши на крышу, подвальные помещения,
холодильные установки, бойлерные, электрощитовые и др.);
4)
перечень особенностей эксплуатации зданий и сооружений объекта,
влияющих на режим безопасности (права арендодателей помещений,
необходимость посещения различными инспекциями и т. п.);
5)
схема режима освещенности территории в ночное время;
6)
схема организации движения транспорта по территории объекта и
территории, прилегающей к нему;
7)
нормативный документ, определяющий режим работы сотрудников, и
правила посещения объекта клиентами.
107
На втором этапе специальной экспертной группой, формирующей
концепцию
безопасности,
совместно
с
руководством
предприятия
принимаются основополагающие решения по вопросам безопасности.
1.
Формулируются
возможные
угрозы,
представляющие
опасность
интересам
предприятия на данном этапе его работы и развития.
2.
Решается вопрос о том, чьими силами будет осуществляться охрана
объекта (собственными силами, силами правоохранительных органов или
охранным агентством).
3.
Определяются допустимые пределы режимных ограничений, которые
не нанесут ущерба технологии основной деятельности предприятия.
4.
Оцениваются
допустимые
пределы
возможного
финансирования
программ, связанных с обеспечением безопасности.
5.
Определяются приоритеты и ориентировочные желательные сроки
реализации этих программ.
На третьем этапе производится разработка документов, составляющих
основу
концепции.
1.
Составление таблиц помещений здания и участков территории с
указанием режимности (рекомендуется градация степени режимности из 6
категорий).
2.
Составление схемы (плана) охраны объекта с указанием маршрутов
движения
сотрудников
и
клиентов,
расположения
постов
охраны,
распределения функций между постами охраны и техническими средствами
усиления безопасности.
3.
Разработка рекомендаций по организации контрольно-пропускного
режима с иерархией доступа различных категорий клиентов и сотрудников в
помещения с разной степенью режимности.
4.
Оценка необходимости защиты и принципов защиты коммуникаций.
108
5.
Определение
необходимости
усиления
защищенности
объекта
техническими средствами (укрепление стройконструкций, системы охранной
сигнализации,
телевизионное
наблюдение,
устройство
контроля
и
регистрации и т. д.) и составление скелетной схемы технического оснащения.
6.
Оценка необходимости разработки системы предотвращения утечки
информации с объекта.
7.
Определение
принципа
локализации
возможного
ущерба
от
взаимодействия
с
происшествий и чрезвычайных ситуаций.
8.
Выработка
рекомендаций
по
порядку
правоохранными организациями в угрожающих ситуациях и при
расследовании происшествий.
9.
Составление
необходимых
ориентировочной
сметы
расходов
на
выполнение
проектных, монтажных и других работ с указанием
ориентировочной стоимости потребного оборудования и расходов на
эксплуатацию или просто определение максимально допустимых
пределов расхода средств на эти цели.
10.
Определение организаций, которые могут быть привлечены для
осуществления мероприятий по организации защиты объекта.
В зависимости от характера работы предприятия и его структурной
организации в концепцию могут включаться и другие разделы. Среди них
можно отметить следующие:
1)
система мер противодействия попыткам преступных элементов и
организованных групп осуществлять угрозы в отношении персонала,
клиентов, имущества, материальных и интеллектуальных ценностей (защита
от налетов, проникновения взломом и прочих угроз криминального
характера);
2)
информационное и правовое обеспечение интересов предприятия
(деловая разведка, помощь в возврате кредитов, ускоренная подготовка и
проведение арбитражных процессов и т. п.);
109
3)
проверочные мероприятия в отношении клиентов, персонала и
кандидатов на работу и расследование происшествий.
Концепция оформляется в виде пакета документов, подписанных
разработчик руководителем службы безопасности (при необходимости и
представителями других служб) и утверждается руководителем предприятия.
После разработки концепции безопасности предприятия целесообразно
разработать политики безопасности для его отдельных функциональных
подсистем.
В первую очередь такую политику безопасности следует разработать
для информационной инфраструктуры, функционирующей на предприятии,
— его автоматизированной информационной системы (ИС).
2. Политика информационной безопасности предприятия
2.1. Назначение политики безопасности
В целом задача построения системы защиты информации, способной
противостоять трем основным группам угроз, является достаточно сложной,
решается каждого конкретного случая и не всегда считается разрешимой.
При этом отдельным вопросом остается оптимальность и адекватность
созданной системы защиты информации поставленным целям.
Одновременно
система
защиты
должна,
по
возможности,
удовлетворять следующим противоречащим друг другу принципам:
1)
система защиты носит вспомогательный характер, по сравнению
с основным
направлением деятельности ИС;
2)
система защиты не должна ограничивать обмен информацией для
выполнения основных функций ИС;
3)
система защиты должна надежно защищать всю имеющуюся в
ИС ценную
информацию от всех возможных угроз.
110
При принятии решений по созданию политики безопасности ИС
руководство организации сталкивается с проблемой выбора вариантов
решений по организации защиты информации на основе учета принципов
деятельности организации, соотношения важности целей и
наличия
ресурсов. Эти решения включают определение того, как будут защищаться
технические и информационные ресурсы, а также как должны вести себя
служащие в тех или иных ситуациях.
Таким образом, реальная система защиты должна быть компромиссом
между эффективностью основного функционирования ИС и защитой
информации в ней, также между материальными затратами на защиту и
стоимостью самих защищаемых технологических и информационных
ресурсов. Для реализации такого компромисса и вводят понятие политики
безопасности.
Политика безопасности — это набор норм, правил и практических
приемов, которые регулируют управление, защиту и распределение ценной
информации в данной ИС (организации, подразделении и т. п.).
На практике политика безопасности трактуется как совокупность
документированных
административных
решений,
направленных
на
обеспечение безопасности информационных ресурсов ИС.
В данном контексте любая система защиты является реализацией
политики безопасности. Говорят, что система является гарантированно
защищенной, если ее система защиты при заданных условиях реализует все
правила политики безопасности. При этом следует учитывать, что
реализация опасностей для ценной информации в ИС может быть следствием
не
только
неадекватной
системы
защиты,
но
и
неправильно
сформулированной политики безопасности.
Для конкретной ИС политика безопасности зависит от технологии
обработки информации, используемых программных и технических средств,
структуры организации и т. д.
111
Создание политики должно учитывать следующие направления
защиты:
•
защита объектов информационной системы;
•
защита процессов, процедур и программ обработки информации;
•
защита каналов связи;
•
подавление побочных электромагнитных излучений и наводок;
•
управление системой защиты.
Очевидно, что каждое из указанных направлений должно быть
детализировано в зависимости от особенностей структуры ИС.
Кроме этого, политика информационной безопасности (ПИБ) должна
описывать следующие этапы создания СЗИ:
•
определение
информационных
и
технических
ресурсов,
подлежащих защите;
•
выявление полного множества потенциально возможных угроз и
каналов утечки информации;
•
проведение оценки уязвимости и рисков информации при
имеющемся множестве угроз и каналов утечки;
•
определение требований к системе защиты;
•
осуществление выбора средств защиты информации и их
характеристик;
•
внедрение
и
организация
использования
выбранных
мер,
способов и ере защиты;
•
осуществление контроля целостности и управление системой
защиты.
При
разработке
и
проведении
в
жизнь
ПИБ
целесообразно
руководствоваться следующими принципами:
1)
невозможность миновать защитные средства (означает, что все
информационные потоки в защищаемую сеть и из нее должны проходить
через средства защиты информации (СЗИ), не должно быть «тайных»
модемных входов или тестовых линий, идущих в обход);
112
2)
усиление самого слабого звена (надежность любых СЗИ
определяется самым слабым звеном, часто таким звеном оказывается не
компьютер или программа, а человек, и тогда проблема обеспечения
информационной безопасности приобретает нетехнический характер);
3)
недопустимость перехода в открытое состояние (означает, что
при любых обстоятельствах (в том числе нештатных) СЗИ либо полностью
выполняют свои функции, либо должны полностью блокировать доступ);
4)
минимизация привилегий (предписывает выделять пользователям
и администраторам только те права доступа, которые необходимы им для
выполнения служебных обязанностей);
5)
разделение обязанностей (предполагает такое распределение
ролей и ответственности, при котором один человек не может нарушить
критически важный для организации процесс, это особенно важно для
предотвращения
злонамеренных
или
квалифицированных
действий
системного администратора);
6)
многоуровневая защита (предписывает не полагаться на один
защитный рубеж, каким бы надежным он ни казался; за средствами
физической защиты должны следовать программно-технические средства, за
идентификацией и аутентификацией - управление доступом и, как последний
рубеж, протоколирование и аудит; эшелонированная оборона способна по
крайней мере задержать злоумышленника, а наличие такого рубежа, как
протоколирование и аудит, существенно затрудняет незаметное выполнение
злоумышленных действий);
7)
разнообразие защитных средств (рекомендуется организовывать
различные по своему характеру оборонительные рубежи, чтобы от
потенциального злоумышленника требовалось овладение разнообразными и,
по возможности, несовместимыми между собой навыками преодоления
СЗИ);
8)
простота и управляемость информационной системы (определяет
возможность формального или неформального доказательства корректности
113
реализации механизмов защиты, только в простой и управляемой системе
можно проверить согласованность конфигурации разных компонентов и
осуществить централизованное администрирование);
9)
обеспечение всеобщей поддержки мер безопасности (носит
нетехнический характер, рекомендуется с самого начала предусмотреть
комплекс мер, направленный на обеспечение лояльности персонала мерам
защиты, на постоянное обучение, теоретическое и, главное, практическое).
2.2. Содержание политики безопасности
Результатом
выработки
политики
безопасности
является
высокоуровневый документ, в котором излагаются цели, задачи, принципы и
способы достижения информационной безопасности. Данный документ
составляет методологическую основу практических мер (процедур) по
реализации ИБ и содержит следующие группы сведений:
•
основные положения информационной безопасности;
•
область применения;
•
цели и задачи обеспечения ИБ;
•
распределение ролей и ответственности;
•
общие обязанности.
Основные положения определяют важность обеспечения ИБ, общие
проблемы
безопасности, направления, их решения, роль сотрудников,
нормативно-правовые основы.
Областью применения политики безопасности являются основные
активы и подсистемы ИС, подлежащие защите. Типовые активы составляют
персонал, информационное и программно-аппаратное обеспечение ИС, в
отдельных случаях информационная инфраструктура.
Цели и задачи обеспечения ИБ вытекают из функционального
назначения ИС. Например, в некоторых ИС на первое место ставится
соблюдение
конфиденциальности
формации.
Для
сервисных
информационных служб реального времени важным является обеспечение
114
доступности (оперативной готовности) подсистем. Для информационных
хранилищ актуальным может быть обеспечение целостности данных и т. д.
Типовыми целями могут быть следующие: обеспечение уровня
безопасности, соответствующего нормативным документам;
достижение
экономической целесообразности в выборе защитных мер; обеспечение
соответствующего уровня безопасности в конкретных функциональных
областях ИС; реализация подотчетности всех действий пользователей с
информационными ресурсами и анализа регистрационной информации;
выработка
планов
восстановления
после
критических
ситуаций
и
обеспечения непрерывности работы ИС и др.
Если ИС не является изолированной, цели и задачи рассматриваются в
более широком контексте: должны быть оговорены вопросы безопасного
взаимного влияния локальных и удаленных подсистем.
В указанном документе могут быть конкретизированы некоторые
стратегические принципы безопасности (вытекающие из целей и задач).
Таковыми являются стратегии действий в случае нарушения политики
безопасности, взаимодействия с внешними организациями, прессой и др. В
качестве примера можно привести две стратегии ответных действий на
нарушение безопасности:
•
«защититься и продолжить», когда оказывается максимальное
противодействие нарушению;
•
«выследить и осудить», когда злоумышленнику позволяют
продолжить действия с целью его компрометации и наказания.
Политика
безопасности
(обслуживающий
затрагивает
всех
пользователей
ИС
персонал и собственно пользователей). Поэтому важно
решить вопросы наделения всех категорий пользователей соответствующими
правами, привилегиями и обязанностями. Для этого определяется круг лиц,
имеющих доступ к подсистемам и сервисам ИС. Для каждой категории
пользователей
описываются
использования
ресурсов
—
правильные
что
и
запрещено
неправильные
и
способы
разрешено.
Здесь
115
специфицируются уровни и регламентация доступа различных групп
пользователей.
Следует
указать,
какое
из
правил
умолчания
на
использование ресурсов принято, а именно:
•
что явно не запрещено, то разрешено или
•
что явно не разрешено, то запрещено.
Одним из самых уязвимых мест в обеспечении ИБ является
распределение прав доступа. В политике безопасности должна быть
утверждена схема управления распределением прав доступа к сервисам —
централизованная, децентрализованная иная. Должно быть четко определено,
кто распоряжается правами доступа к сервисам и какими именно правами.
Целесообразно детально описать практические процедуры
наделения
пользователей правами. Здесь следует указать должностных лиц, имеющих
административные привилегии и пароли для определенных сервисов. Права
и обязанности пользователей определяются применительно к безопасному
применению подсистем и сервисов ИС. При определении прав и
обязанностей администраторов следует стремиться к некоторому балансу
между правом пользователей на тайну и обязанностью администратора
контролировать нарушения безопасности.
В настоящее время лучше всего изучены два вида политики
безопасности: избирательная и полномочная, основанные соответственно на
избирательном и полномочном способах управления доступом. Кроме того,
существует набор требований, усиливающий действие этих политик и
предназначенный для управления информационными потоками в системе.
Следует отметить, что средства защиты, предназначенные для
реализации какого-либо из названных способов управления доступом, только
предоставляют
возможности
надежного
управления
доступом
или
информационными потоками. Определение прав доступа субъектов к
объектам и/или информационным потокам (полномочий субъектов и
атрибутов объектов, присвоение меток критичности и т. д.) входит
в
компетенцию администрации системы.
116
Основой избирательной (дискреционной) политики безопасности
является избирательное управление доступом, которое подразумевает, что:
•
все
субъекты
и
объекты
системы
должны
быть
идентифицированы;
•
права доступа субъекта к объекту системы определяются на
основании некоторого правила (свойство избирательности).
Для
описания
свойств
избирательного
управления
доступом
применяется модель системы на основе матрицы доступа (МД), иногда ее
называют матрицей контроля доступа. Такая модель получила название
матричной. Матрица доступа (МД) представляет собой прямоугольную
матрицу, в которой объекту системы соответствует строка, а субъекту —
столбец. На пересечении столбца и строки матрицы указывается тип
разрешенного доступа субъекта к объекту. Обычно выделяют такие типы
доступа субъекта к объекту, как «доступ на чтение», «доступ на запись»,
«доступ на исполнение» и др.
Множество объектов и типов доступа к ним субъекта может
изменяться в соответствии с некоторыми правилами, существующими в
данной системе. Определение и изменение этих правил также являются
задачей МД.
Решение на доступ субъекта к объекту принимается в соответствии с
типом доступа, указанным в соответствующей ячейке матрицы доступа.
Обычно избирательное управление доступом реализует принцип «что не
разрешено, то запрещено», предполагающий явное разрешение доступа
субъекта к объекту. Матрица доступа — наиболее простой подход к
моделированию систем доступа.
Избирательная политика безопасности наиболее широко применяется в
коммерческом секторе, так как ее реализация на практике отвечает
требованиям коммерческих организаций по разграничению доступа и
подотчетности, а также имеет приемлемую стоимость и небольшие
накладные расходы.
117
Основу
полномочной
политики
безопасности
составляет
полномочное управление доступом, которое подразумевает, что:
•
все субъекты и объекты системы должны быть однозначно
идентифицированы;
•
каждому
объекту
системы
присвоена
метка
критичности,
определяющая ценность содержащейся в нем информации;
•
каждому субъекту системы присвоен уровень прозрачности,
определяющий максимальное значение метки критичности объектов, к
которым субъект имеет доступ.
Когда совокупность меток имеет одинаковые значения, говорят, что
они принадлежат к одному уровню безопасности. Организация меток имеет
иерархическую структуру, и, таким образом, в системе можно реализовать
иерархически восходящий поток информации (например, от рядовых
исполнителей к руководству). Чем важнее объект или субъект, тем выше его
метка критичности. Поэтому наиболее защищенными оказываются объекты с
наиболее высокими значениями метки критичности.
Каждый субъект, кроме уровня прозрачности, имеет текущее значение
уровня
безопасности,
которое
может
изменяться
от
некоторого
минимального значения до значения его уровня прозрачности.
Основное
назначение
полномочной
политики
безопасности
—
регулирование доступа субъектов системы к объектам с различным уровнем
критичности и предотвращение утечки информации с верхних уровней
должностной иерархии в нижние.
Важным
элементом
политики
является
также
распределение
ответственности. Политика не может предусмотреть всего, однако она
должна для каждого вида проблем найти ответственного. Обычно выделяется
несколько уровней ответственности.
На первом уровне каждый пользователь обязан работать в соответствии
с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за
отдельные аспекты безопасности, ставить в известность руководство обо
118
всех подозрительных ситуациях. Системные администраторы отвечают за
защиту
соответствующих
информационно-вычислительных
подсистем.
Администраторы ИС должны обеспечивать реализацию организационнотехнических мер, необходимых для проведения в жизнь сетевой политики
безопасности ИС. Более высокий уровень — руководители подразделений
отвечают за доведение и контроль положений политики безопасности.
Раздел
политики,
посвященный
общим
обязанностям,
должен
описывать процедуру получения полномочий, регистрации, отключения и
непосредственно работы с информационными ресурсами ИС со стороны всех
сотрудников предприятия ( получение и смена паролей, информирование
администрации о командировках и пусках для блокирования учетных
записей на данный период, необходимость пользования электронной почты и
доступа к внешним Web-ресурсам, требование пользоваться антивирусами,
процедура установки нового ПО и т. п.) и предписывать им строго соблюдать
изложенные в политике безопасности защитные меры.
2.3. Структура политики безопасности
С практической точки зрения, политику безопасности целесообразно
разделить, на несколько уровней. Как правило, выделяют два-три уровня.
Верхний уровень носит общий характер и определяет политику ИС в
целом. Здесь основное внимание уделяется:
•
порядку создания и пересмотра политики безопасности;
•
целям,
преследуемым
ИС
в
области
информационной
безопасности;
•
вопросам выделения и распределения ресурсов;
•
принципам технической политики в области выбора методов и
средств защиты информации;
•
координированию мер безопасности;
•
стратегическому планированию и контролю;
•
внешним взаимодействиям и другим вопросам, имеющим
общеорганизационный характер.
119
На указанном уровне формулируются главные цели в области ИБ
(определяемые сферой деятельности): обеспечение конфиденциальности,
целостности и (или) доступности.
Средний уровень политики безопасности
выделяют в случае
структурной сложности ИС (наличие филиалов и т. п.) или при
необходимости обозначить специфичные подсистемы организации. Это
касается отношения к перспективным, еще не достаточно апробированным
технологиям. Например, использование новых сервисов Internet, организация
связи и обработка информации на домашних и портативных компьютерах,
степень соблюдения положений компьютерного права и др. Кроме того, на
среднем уровне политики безопасности могут быть выделены особо
значимые контуры ИС, например обрабатывающие конфиденциальную или
критически важную информацию.
За разработку и реализацию политики безопасности верхнего и
среднего
уровней
отвечают
руководитель
службы
безопасности,
администраторы безопасности ИС, администраторы ИВС.
Нижний уровень политики безопасности относится к конкретным
службам или подразделениям ИС и детализирует верхние уровни политики
безопасности. Этот уровень необходим, когда вопросы безопасности
конкретных подсистем требуют решения на управленческом, а не только на
техническом уровне. На данном уровне определяются конкретные цели,
частные критерии и показатели информационной безопасности, задаются
права конкретных групп пользователей, формулируются соответствующие
условия доступа к информации и т. п. Здесь из конкретных целей вводятся
(обычно формальные) правила безопасности, описывающие, кто, что и при
каких условиях может или не может делать. Более детальные и формальные
правила простят внедрение системы и настройку СЗИ. На нижнем уровне
описываются механизмы защиты информации и используемые программнотехнические средства для их реализации. За политику безопасности нижнего
уровня отвечают системные администраторы.
120
В ходе разработки политики безопасности с целью минимизации затрат
на обеспечение ИБ проводится
анализ рисков. Основной принцип
безопасности: затраты на средства защиты не должны превышать стоимости
защищаемых объектов. При этом если политика безопасности оформляется в
виде высокоуровневого документа, описывающего общую стратегию, то
анализ рисков (как приложение) оформляется в виде списка активов,
нуждающихся в защите.
ТЕМА 7. Особенности системы организационной защиты
информации, составляющей государственную тайну
1.1. Отнесение сведений к различным видам конфиденциальной информации
Порядок
отнесения
информации
к
различным
видам
конфиденциальной информации и установления ограничений на доступ к ней
является одним из важных вопросов, определяющих основы правового
регулирования отношений в информационной сфере, Вопросы отнесения
информации к категории конфиденциальной находят особое место в
нормативных правовых актах, регулирующих отношения, связанные с теми
или
иными
видами
информации
с
ограниченным
доступом.
Основополагающие подходы и принципы нормативного регулирования
проблем
«открытости»
и
«закрытости»
информации
определены
в
Федеральном законе «Об информации, информационных технологиях и
защите информации». (Федеральный закон от 27.07.2006 г. № 149-ФЗ)
Под информацией в мы будем понимать сведения (сообщения, данные)
независимо от формы их представления. При регулировании отношений,
возникающих в связи с реализацией права на поиск, получение, передачу,
производство и распространение информации, а также при обеспечении ее
защиты будем использовать следующие основные понятия:
обладатель
информации
—
лицо,
самостоятельно
создавшее
информацию либо получившее на основании закона или договора право
121
разрешать или ограничивать доступ к информации, определяемой по какимлибо признакам;
доступ к информации — возможность получения информации и ее
использования;
конфиденциальность информации — обязательное для выполнения
лицом, получившим доступ к определенной информации, требование не
передавать эту информацию третьим лицам без согласия ее обладателя;
предоставление
информации
действия,
—
направленные
на
получение информации определенным кругом лиц или передачу информации
определенному кругу лиц;
распространение информации — действия,
получение
информации
неопределенным
направленные на
кругом
лиц
или
передачу
информации неопределенному кругу лиц.
Документированная информация - зафиксированная на материальном
носителе
путем
документирования
информация
с
реквизитами,
позволяющими определить данную информацию или в установленных
законодательством РФ случаях ее материальный носитель.
Основные
принципы
правового
регулирования
отношений,
возникающих в сфере информации, информационных технологий и защиты
информации в Российской Федерации:
-
свобода поиска, получения, передачи, производства и распространения
информации любым законным способом;
-
установление
ограничений
на
доступ
к
информации
только
федеральными законами;
-
открытость информации о деятельности государственных органов и
органов местного самоуправления и свободный доступ к такой информации,
кроме случаев, установленных федеральными законами.
По категориям доступа различают общедоступную информацию и
информацию, доступ
к которой
ограничен
федеральными
законами
(информацию с ограниченным доступом).
122
В ст. 29 Конституции Российской Федерации декларируется право
каждого гражданина свободно искать, получать, передавать, производить и
распространять информацию любым законным способом. На основании
Федерального закона «Об информации, информационных технологиях и
защите информации» информация может свободно использоваться любым
лицом и передаваться одним лицом другому лицу, если федеральными
законами не установлены ограничения на доступ к информации либо иные
требования к порядку ее предоставления или распространения. Граждане
(физические лица) и организации (юридические лица) вправе искать и
получать любую информацию в любых формах и из любых источников при
условии соблюдения требований, установленных законодательством РФ.
Ограничение доступа к информации в соответствии со ст. 55
Конституции
РФ и
ст.
9
Федерального
закона
«Об информации,
информационных технологиях и защите информации» устанавливается
федеральными законами в целях защиты основ конституционного строя,
нравственности, здоровья, прав и законных интересов других лиц,
обеспечения обороны страны и безопасности государства. При этом
обязательным является соблюдение конфиденциальности информации,
доступ к которой ограничен.
В настоящее время федеральные законы определяют лишь условия и
порядок отнесения информации к государственной тайне и коммерческой
тайне. Ограничения на доступ к иной конфиденциальной информации (иным
видам тайн) федеральными законами не установлены. Федеральным законом
«О персональных данных» определен лишь исчерпывающий перечень
информации, относящейся к персональным данным физического лица.
Вопросы отнесения информации к категории служебной информации
ограниченного
распространения
определены
Положением
о
порядке
обращения со служебной информацией ограниченного распространения в
федеральных органах исполнительной власти.
123
С учетом изложенного на основании упомянутых положений ст. 55
Конституции РФ, право на доступ граждан к информации может быть
ограничено только в отношении информации, отнесенной к государственной
или коммерческой тайне. Статья 7 Закона РФ «О государственной тайне» и
ст.
5
Федерального
закона
«О
коммерческой
тайне»
содержат
исчерпывающие перечни сведений, которые не могут быть отнесены к
государственной и коммерческой тайне соответственно. Доступ граждан к
этим сведениям должен осуществляться без каких-либо ограничений. В п. 1.3
Положения о порядке обращения со служебной информацией ограниченного
распространения
в
федеральных
органах
исполнительной
власти
перечислены сведения, которые руководителями органов государственной
власти, предприятий и организаций не могут быть отнесены к данному виду
информации, т.е. к этим сведениям граждане также допускаются без
ограничений.
1.2. Грифы секретности и реквизиты носителей сведений, составляющих
государственную тайну
В Российской Федерации установлены три степени секретности
сведений, составляющих государственную тайну, и соответствующие этим
степеням грифы секретности для носителей указанных сведений: «особой
важности», «совершенно секретно» и «секретно».
Конкретная
степень
секретности
сведений,
составляющих
государственную тайну, должна соответствовать степени тяжести ущерба,
который
может
вследствие
быть
нанесен
распространения
безопасности
указанных
Российской
сведений.
Она
Федерации
определяется
руководителями органов государственной власти в развернутых перечнях
сведений, подлежащих засекречиванию.
Сведения в области военной, внешнеполитической, экономической,
научно-технической,
разведывательной,
контрразведывательной
и
оперативно-розыскной деятельности, составляющие государственную тайну,
следует относить:
124
-
к сведениям особой важности, если их распространение может
нанести ущерб интересам Российской Федерации;
-
к совершенно секретным сведениям, если их распространение
может нанести ущерб интересам министерства (ведомства) или отрасли
экономики Российской Федерации;
-
к секретным сведениям, если их распространение может
нанести ущерб интересам предприятия или организации.
Носителям
сведений,
составляющих
государственную
тайну,
присваивается конкретный гриф секретности.
В
целях
идентификации
носителей
сведений,
составляющих
государственную тайну, определения их принадлежности, обеспечения их
учета и сохранности, на них наносятся реквизиты, включающие следующие
данные:
-
о степени секретности содержащихся в носителе сведений со
ссылкой на соответствующий пункт действующего в данном органе
государственной
власти,
на
данном
предприятии,
в
организации
развернутого перечня сведений, подлежащих засекречиванию;
-
об органе государственной власти, предприятии или организации,
осуществивших засекречивание носителя;
-
о регистрационном номере;
-
о дате или условии рассекречивания включенных в носитель
сведений, составляющих государственную тайну, либо о событии, после
наступления которого сведения будут рассекречены.
При невозможности нанесения таких реквизитов на носитель сведений,
составляющих государственную тайну (крупногабаритное изделие, изделие,
изготовленное из материала, на который нанести реквизиты невозможно),
эти данные указываются в сопроводительной документации на этот носитель.
Если носитель содержит составные части с различными степенями
секретности,
каждой
из
этих
составных
частей
присваивается
соответствующий гриф секретности, а носителю в целом присваивается гриф
125
секретности,
соответствующий
тому
грифу
секретности,
который
присваивается его составной части, имеющей высшую для данного носителя
степень секретности сведений.
Помимо перечисленных в настоящей статье реквизитов на носителе и
(или) в сопроводительной документации к нему могут проставляться
дополнительные отметки, определяющие полномочия должностных лиц по
ознакомлению с содержащимися в этом носителе сведениями. Вид и порядок
проставления дополнительных отметок и других реквизитов определяются
нормативными документами, утверждаемыми Правительством РФ.
2.1. Отнесение сведений к государственной тайне. Засекречивание сведений
и их носителей
Под
отнесением
сведений
к
государственной
тайне
и
их
засекречиванием понимается введение в предусмотренном Законом РФ «О
государственной тайне» порядке ограничений на их распространение и на
доступ к их носителям.
Основными принципами отнесения сведений к государственной тайне
и их засекречивания являются:
законность — соответствие засекречиваемых сведений положениям
ст. 5 и 7 Закона РФ «О государственной тайне» и законодательству
Российской Федерации о государственной тайне;
обоснованность
целесообразности
—
установление
засекречивания
путем
конкретных
экспертной
сведений,
оценки
вероятных
экономических и иных последствий этого акта исходя из баланса жизненно
важных интересов государства, общества и граждан;
своевременность — установление ограничений на распространение
засекречиваемых сведений с момента их получения (разработки) или
заблаговременно.
Отнесение сведений к государственной тайне осуществляется в
соответствии с их отраслевой, ведомственной или программно-целевой
126
принадлежностью в порядке, определенном Законом РФ «О государственной
тайне».
Обоснование необходимости отнесения сведений к государственной
тайне в соответствии с упомянутыми принципами засекречивания сведений
возлагается на органы государственной власти, предприятия, учреждения и
организации, которыми эти сведения получены (разработаны). Отнесение
сведений к государственной тайне осуществляется в соответствии с
Перечнем сведений, составляющих государственную тайну, руководителями
органов государственной власти, включенными в Перечень должностных
лиц, наделенных полномочиями по отнесению сведений к государственной
тайне. При этом указанные должностные лица несут персональную
ответственность за принятые ими решения о целесообразности отнесения
конкретных сведений к государственной тайне.
Структура Перечня сведений, составляющих государственную тайну,
представлена на рис. 7.1.
Вместе с тем в соответствии со ст. 7 Закона РФ «О государственной
тайне» не подлежат отнесению к государственной тайне и засекречиванию
сведения:
-о
чрезвычайных
происшествиях
и
катастрофах,
угрожающих
безопасности и здоровью граждан, и их последствиях, а также о стихийных
бедствиях, их официальных прогнозах и последствиях;
-о состоянии экологии, здравоохранения, санитарии, демографии,
образования,
культуры,
сельского
хозяйства,
а
также
о
состоянии
преступности;
-о
привилегиях,
компенсациях
и
льготах,
предоставляемых
государством гражданам, должностным лицам, предприятиям, учреждениям
и организациям;
-о фактах нарушения прав и свобод человека и гражданина;
-о размерах золотого запаса и государственных валютных резервах
Российской Федерации;
127
-о
состоянии
здоровья
высших
должностных
лиц
Российской
Федерации;
-о фактах нарушения законности органами государственной власти и
их должностными лицами.
Перечень сведений, составляющих государственную тайну
Сведения в военной области
Сведения в области экономики, науки и техники
Сведения в области внешней политики и экономики
Сведения
в
контрразведывательной
области
и
разведывательной,
оперативно-розыскной
деятельности
Рисунок
7.1. Структура
перечня
сведений, составляющих
государственную тайну
Руководители
и
должностные
лица,
принявшие
решения
о
засекречивании перечисленных сведений либо о включении их в этих целях в
носители сведений, составляющих государственную тайну, несут уголовную,
административную или дисциплинарную ответственность в зависимости от
причиненного
обществу, государству и гражданам материального и
морального ущерба.
В соответствии с Перечнем сведений, составляющих государственную
тайну, Межведомственная комиссия по защите государственной тайны
(орган, осуществляющий единую государственную политику в данной
области) на основании предложений государственных органов формирует
Перечень сведений, отнесенных к государственной тайне. Этот перечень
128
является открытым, в нем указываются органы государственной власти,
наделяемые полномочиями по распоряжению конкретными сведениями.
Упомянутыми
органами
государственной
власти,
руководители
которых наделены полномочиями по отнесению сведений к государственной
тайне, в соответствии с Перечнем сведений, отнесенных к государственной
тайне, разрабатываются
развернутые
перечни
сведений, подлежащих
засекречиванию, которые действуют в данных государственных органах. В
них включаются конкретные сведения, полномочиями по распоряжению
которыми наделены указанные органы, и устанавливается конкретная
степень секретности этих сведений. Развернутые перечни сведений,
подлежащих засекречиванию, в зависимости от их содержания могут быть
открытыми или закрытыми (ограниченными для распространения). Порядок
разработки развернутых перечней и отнесения сведений к конкретным
степеням
секретности
установлен
Правилами
отнесения
сведений,
составляющих государственную тайну, к различным степеням секретности,
утвержденными постановлением Правительства РФ от 04.09.1995 г. № 870.
Основанием
для
засекречивания
сведений
и
их
носителей,
разработанных в органе государственной власти (на предприятии), является
соответствие этих сведений положениям действующего в данном органе
государственной власти (на предприятии) развернутого перечня сведений,
подлежащих засекречиванию. При принятии решения о засекречивании
сведений их носителям присваивается соответствующий гриф секретности.
В случае невозможности
сведениями,
(должностные
включенными
лица)
органов
в
идентификации
указанный
данных
перечень,
государственной
власти
сведений
со
руководители
(предприятий,
организаций) обязаны обеспечить их предварительное засекречивание в
соответствии с предполагаемой степенью секретности и присвоить их
носителям гриф секретности. Эти руководители
в месячный срок после
засекречивания сведений (их носители) направляют в адрес должностного
лица, утвердившего указанный развернутый перечень сведений, подлежащих
129
засекречиванию,
предложения
по
его
дополнению
(изменению).
Должностные лица, утвердившие действующий перечень, обязаны в течение
трех месяцев организовать экспертную оценку поступивших предложений и
принять решение по дополнению (изменению) существующего перечня или
снятию предварительно присвоенного сведениям грифа секретности.
2.2. Основания и порядок рассекречивания сведений и их носителей
Под рассекречиванием сведений, составляющих государственную
тайну, и их носителей в соответствии со ст. 13 Закона РФ «О
государственной
тайне»
понимается
снятие
ранее
введенных
в
установленном порядке ограничений на их распространение и доступ к их
носителям.
Основанием для рассекречивания сведений может быть взятие на себя
Российской Федерацией международных обязательств по открытому обмену
сведениями, составляющими в Российской Федерации государственную
тайну, или изменение объективных обстоятельств, вследствие которых
дальнейшая защита сведений, составляющих государственную тайну,
является нецелесообразной.
В соответствии с Законом РФ «О государственной тайне» срок
засекречивания сведений, составляющих государственную тайну, не должен
превышать 30 лет. В исключительных случаях этот срок может быть продлен
по заключению Межведомственной комиссии по защите государственной
тайны.
Правом изменения действующих в органах государственной власти (на
предприятиях) перечней сведений, подлежащих засекречиванию, наделяются
утвердившие
их
руководители
органов
государственной
власти
(предприятий). Эти руководители несут персональную ответственность за
обоснованность принятых ими решений по рассекречиванию сведений,
составляющих государственную тайну, ранее включенных в данные перечни.
В случае, если решения указанных руководителей по рассекречиванию
сведений, составляющих государственную тайну, влекут за собой изменения
130
соответствующих положений (пунктов) Перечня сведений, отнесенных к
государственной тайне, эти решения в установленном порядке подлежат
согласованию с Межведомственной комиссией по защите государственной
тайны, которая наделена правом приостанавливать или опротестовывать эти
решения.
Органы государственной власти, руководители которых наделены
полномочиями по отнесению сведений к государственной тайне, обязаны
периодически, но не реже чем через каждые 5 лет, пересматривать
содержание разработанных и утвержденных данными руководителями
развернутых перечней сведений, подлежащих засекречиванию, в части
обоснованности
засекречивания
сведений
и
их
соответствия
ранее
установленной степени секретности.
Носители
сведений,
составляющих
государственную
тайну,
рассекречиваются не позднее сроков, установленных при их засекречивании.
До истечения этих сроков носители подлежат рассекречиванию, если
изменены положения действующего в данном органе государственной власти
(на предприятии) развернутого перечня, на основании которых они были
засекречены. В исключительных случаях право продления первоначально
установленных сроков засекречивания носителей сведений, составляющих
государственную тайну, предоставляется руководителям государственных
органов, наделенным полномочиями по отнесению соответствующих
сведений к государственной тайне, на основании заключения назначенной
ими в установленном порядке экспертной комиссии. Руководители органов
государственной
власти
(предприятий)
носители сведений, необоснованно
имеют
право
рассекречивать
засекреченные подчиненными
им
должностными лицами (руководителями предприятий или организаций).
Рассекречивание носителей сведений, составляющих государственную
тайну и находящихся на хранении в закрытых фондах государственных
архивов России, осуществляется организациями-фондообразователями или
их правопреемниками, а в случае их ликвидации — в соответствии с
131
решением Межведомственной комиссии по защите государственной тайны.
В отдельных случаях рассекречивание носителей сведений, составляющих
государственную тайну, может производиться руководителями архивов, в
которых
они
хранятся,
при
делегировании
им
таких
полномочий
организацией-фондообразователем или ее преемником.
Особенности рассекречивания архивных документов Правительства
СССР определены постановлением Правительства РФ от 20.02.1995 г. № 170
«Об
установлении
порядка
рассекречивания
и
продления
сроков
засекречивания архивных документов Правительства СССР».
После принятия решения о рассекречивании сведений, составляющих
государственную тайну, и их носителей, реквизиты, ранее нанесенные на эти
носители,
в
установленном
порядке
с
них
снимаются.
В
целях
своевременного и одновременного снятия указанных реквизитов со всех
экземпляров рассекреченных носителей орган государственной власти или
организация, непосредственно реализующие соответствующее решение
руководителя
письменно извещают об этом решении все организации
в
которых находятся (хранятся) экземпляры данного носителя.
3.1 Организация допуска и доступа к конфиденциальной информации
В соответствии со ст. 6 Федерального закона «Об информации,
информационных технологиях и защите информации» вопросы ограничения
доступа к информации, определения порядка и условий такого доступа
относятся
к
исключительной
компетенции
обладателя
информации.
Последний при осуществлении своих прав обязан ограничивать доступ к
информации и принимать меры по ее защите, если такая обязанность
установлена федеральными законами.
Допуск к конфиденциальной информации - выполнение обладателем
информации
или
другими
уполномоченными
должностными
лицами
определенных процедур, связанных с оформлением права лица на доступ к
конкретному виду конфиденциальной информации.
132
В
настоящее
время
в
России
законодательно
определены
и
урегулированы вопросы допуска персонала предприятия к сведениям,
составляющим государственную или коммерческую тайну. Порядок допуска
лиц к иным видам информации с ограниченным доступом с учетом
положений Федерального закона «Об информации, информационных
технологиях
и
защите
соответствующих
информации»
должностных
лиц
находится
в
(руководителей
компетенции
предприятий),
являющихся обладателями такой информации.
Доступ
лица
санкционированное
к
конфиденциальной
полномочным
должностным
информации
лицом
—
ознакомление
персонала предприятия и иных лиц с конфиденциальной информацией и ее
носителями.
Доступ граждан к информации, содержащей сведения, в установленном
порядке отнесенные к коммерческой тайне, осуществляется в соответствии
со ст. 7 и 10 Федерального закона «О коммерческой тайне». С момента
установления режима коммерческой тайны в отношении какой-либо
информации полномочия по принятию решения о доступе к ней в полном
объеме переходят к обладателю информации.
Порядок допуска и доступа должностных лиц и граждан (персонала
предприятия)
к
государственной
информации,
тайне,
содержащей
является
одним
сведения,
из
отнесенные
основных
к
вопросов
государственного регулирования в сфере защиты государственной тайны.
3.2. Разрешительная система доступа персонала к конфиденциальной
информации
Разрешительная система доступа лежит в основе организационноправового регулирования вопросов допуска и непосредственного доступа
персонала к конфиденциальной информации и ее носителям независимо от
степени ее важности и конфиденциальности. Понятие, сущность и основные
положения разрешительной системы доступа персонала предприятия к
133
информации, подлежащей защите, представлены на примере информации, в
установленном порядке отнесенной к коммерческой тайне.
В соответствии с Федеральным законом «О коммерческой тайне» под
доступом
к
информации,
составляющей
коммерческую
тайну,
понимается ознакомление определенных лиц с этой информацией с согласия
ее обладателя или на ином законном основании при условии сохранения
конфиденциальности
этой
информации.
В
целях
сохранения
конфиденциальности информации ее обладатель в порядке, определенном
указанным федеральным законом, устанавливает режим коммерческой
тайны. Режим коммерческой тайны — правовые, организационные,
технические и иные меры по охране конфиденциальности информации,
составляющей коммерческую тайну, принимаемые ее обладателем.
К обязательным мерам по защите охраняемой информации в
соответствии с положениями ст. 10 Федерального закона «О коммерческой
тайне» относятся:
-
ограничение
доступа
к
информации,
составляющей
коммерческую тайну, путем установления порядка обращения с этой
информацией и контроля за соблюдением такого порядка;
-
учет лиц, получивших доступ к информации, составляющей
коммерческую тайну, и (или) лиц, которым такая информация была
предоставлена или передана.
Перечисленные меры реализуются в рамках разрешительной системы
доступа персонала предприятия к информации, составляющей коммерческую
тайну.
Создание и реализация разрешительной системы доступа персонала к
информации, составляющей коммерческую тайну, — важная часть общей
системы организационных мер по защите информации на предприятии.
Создание и функционирование разрешительной системы доступа
персонала предприятия к информации направлены, в первую очередь, на
134
решение стоящих перед предприятием задач и достижение основных целей
его деятельности.
Основополагающим принципом нормативно-правового регулирования
процесса ознакомления конкретного работника предприятия со сведениями,
составляющими коммерческую тайну, является правомерность доступа этого
работника к конкретным сведениям или их носителям.
Основные условия правомерного доступа персонала к коммерческой
информации включают:
- подписание работником обязательства о неразглашении сведений,
составляющих коммерческую тайну, а также трудового договора, который в
соответствии со ст. 57 Трудового кодекса Российской Федерации может
содержать эти обязательства;
-наличие у работника оформленного в установленном порядке допуска
к сведениям, составляющим коммерческую тайну:
-наличие утвержденных руководителем предприятия должностных
(функциональных) обязанностей работника, определяющих круг его задач и
объем необходимой для их решения информации;
-оформление разрешения руководителя предприятия на ознакомление
работника с конкретной информацией, являющейся коммерческой тайной, и
ее носителями.
Процесс регулирования доступа работников к коммерческой тайне
направлен
на
допускаемых
исключение
на
необоснованного
предприятии
к
расширения
информации
круга
различной
лиц,
степени
конфиденциальности, и утечки этой информации, а также доступа к ней
граждан, не имеющих на то разрешения полномочных должностных лиц.
Основная
цель разрешительной
системы доступа
персонала
к
коммерческой тайне — исключение нанесения ущерба предприятию
посредством
несанкционированного
распространения
сведений,
составляющих коммерческую тайну.
135
Чтобы понять роль разрешительной системы доступа к информации
всех категорий сотрудников, в том числе командированных лиц, в
совокупности с другими организационными, правовыми и иными мерами,
направленными на установление режима коммерческой тайны, необходимо
рассмотреть порядок правовой регламентации данной системы. Она должна
быть простой, но достаточно эффективной, гибкой и способной адекватно
реагировать
на
изменения,
происходящие
в
хозяйственной,
производственной и других сферах деятельности предприятия.
В структуре управления процессом доступа особое место занимают
руководитель предприятия и его заместители. Однако наиболее важная роль
в этой структуре отводится руководителям структурных подразделений
предприятия,
сотрудники
которых
непосредственно
допускаются
к
коммерческой тайне (работают с носителями сведений, составляющих
коммерческую тайну). Эти руководители наделяются правом определять
степень
доступа
конкретным
непосредственно
сведениям
подчиненных
(носителям).
В
им
сотрудников
зависимости
от
к
категорий
сотрудников предприятия или командированных лиц, необходимости
ознакомления их с теми или иными сведениями (в пределах должностных
обязанностей
или
в
объеме
предписания
на
выполнение
задания)
соответствующие руководители определяют права этих лиц на доступ к
информации.
Права сотрудников на доступ к коммерческой тайне и работу с ее
носителями регулируются разрешениями полномочных должностных лиц,
оформленными в письменном (документальном) виде.
3.3. Основные положения допуска должностных лиц и граждан к
государственной тайне
Допуск и непосредственный доступ должностных лиц и граждан к
сведениям,
составляющим
осуществляется
государственную
руководителями
органов
тайну,
и
их
носителям
государственной
власти
(предприятий) в соответствии с положениями Закона РФ «О государственной
136
тайне» на основании Инструкции о порядке допуска должностных лиц и
граждан Российской Федерации к государственной тайне.
Допуск
граждан
к
государственной
тайне
осуществляется
в
добровольном порядке и предусматривает:
-
принятие на себя допущенными к государственной тайне лицами
обязательств перед государством по нераспространению доверенных им
сведений, составляющих государственную тайну;
-
согласие на частичные временные ограничения их прав в
соответствии с Законом РФ «О государственной тайне»;
-
письменное
согласие
на
проведение
в
отношении
их
полномочными органами проверочных мероприятий;
- определение видов, размеров и порядка предоставления льгот,
предусмотренных законодательством Российской Федерации;
- ознакомление с нормами законодательства РФ о государственной
тайне, предусматривающими ответственность за их нарушение;
- принятие руководителем предприятия решения о допуске гражданина
к государственной тайне.
Должностные
лица
или
гражданине,
допущенные
(ранее
допускавшиеся) к государственной тайне, могут быть временно ограничены в
правах на выезд за границу на срок, оговоренный в трудовом договоре
(контракте) при оформлении допуска гражданина к государственной тайне;
распространение
сведений,
составляющих
государственную
тайну,
и
использование открытий и изобретений, содержащих такие сведения;
неприкосновенность
частной
жизни
при
проведении
проверочных
мероприятий в период оформления допуска к государственной тайне.
Ограничение гражданина в праве на выезд за границу осуществляется в
соответствии с Федеральным законом «О порядке выезда из Российской
Федерации и въезда в Российскую Федерацию».
В
целях
частичной
компенсации
ограничений
в
правах
для
должностных лиц и граждан, допущенных к государственной тайне па
137
постоянной основе, в соответствии со ст. 21 Закона РФ «О государственной
тайне» устанавливаются следующие льготы: процентные надбавки к
заработной плате в зависимости от степени секретности сведений, к которым
они имеют доступ; преимущественное право при прочих равных условиях на
оставление на работе при проведении органами государственной власти
(предприятиями) организационных и (или) штатных мероприятий.
Для
сотрудников
структурных
подразделений
по
защите
государственной тайны предприятий, независимо от организационноправовой формы и ведомственной принадлежности, дополнительно к
перечисленным льготам устанавливается процентная надбавка к заработной
плате за стаж работы в указанных структурных подразделениях.
Граждане, которым
по характеру
занимаемой
ими
должности
необходим доступ к государственной тайне, могут быть назначены на эти
должности (приняты на работу) только после оформления в установленном
порядке допуска по соответствующей форме.
Перечень должностей, при назначении на которые граждане обязаны
оформлять допуск к сведениям, составляющим государственную тайну, в
связи
с
возложением
на
них
соответствующих
должностных
(функциональных) обязанностей, определяется номенклатурой должностей.
Номенклатура должностей разрабатывается предприятием, согласовывается с
соответствующим органом Федеральной службы безопасности РФ, и после
этого
согласования
утверждается
руководителем
предприятия
(его
заместителем, возглавляющим работу по защите государственной тайны).
Изменения и дополнения в номенклатуру должностей вносятся в
установленном порядке по мере необходимости. Полная переработка
номенклатуры должностей осуществляется не реже одного раза в 5 лет.
Порядок разработки, согласования, утверждения номенклатуры, а также
внесения в нее изменений и дополнений определяется Инструкцией о
порядке допуска должностных лиц и граждан Российской Федерации к
государственной
тайне.
Для
подтверждения
фактической
работы
138
(ознакомление) сотрудников предприятия со сведениями, составляющими
государственную тайну, подразделение по защите государственной тайны
ведет учет их осведомленности в этих сведениях.
3.4. Порядок оформления и переоформления допуска к государственной
тайне. Формы допуска
Допуск к государственной тайне — процедура оформления права
граждан на доступ к сведениям, составляющим государственную тайну.
В соответствии со степенями секретности сведений, составляющих
государственную тайну, и грифами секретности их носителей, установлены
следующие формы допуска:
первая форма — для граждан, допускаемых к сведениям особой
важности;
вторая форма — для граждан, допускаемых к совершенно секретным
сведениям;
третья форма — для граждан, допускаемых к секретным сведениям.
Уровень
необходимого
допуска
личного
состава
определяется
степенью секретности сведений (грифом секретности их носителей), с
которыми они знакомятся (работают) в рамках исполнения должностных
(функциональных)
должностного
обязанностей.
лица,
Уровень
работающего
на
допуска
предприятии
для
каждого
отражается
в
номенклатуре должностей.
При непосредственном оформлении допуска к государственной тайне
для лиц, принимаемых на работу на должности, включенные в номенклатуру
должностей, кадровый орган предприятия (лицо, ведущее кадровую работу)
готовит
необходимые
материалы.
Перечень
таких
материалов
и
соответствующие формы документов приведены в Инструкции о порядке
допуска
должностных
лиц
и
граждан
Российской
Федерации
к
государственной тайне. Основным документом, отражающим анкетные,
автобиографические и другие данные оформляемого липа, является анкета,
собственноручно им заполняемая.
139
Карточка о допуске — документ, подтверждающий наличие допуска к
государственной тайне, содержащий отметки о согласовании допуска лица с
органом безопасности и решении руководителя предприятия о допуске лица
к носителям сведений, составляющих государственную тайну, а также
отражающий трудовую деятельность оформляемого лица, его семейное
положение и другую информацию. Форма карточки определяется формой
допуска к государственной тайне для данного лица.
Перечисленные, а также другие необходимые документы направляют в
орган безопасности с мотивированным письмом, содержащим обоснование
необходимости допуска лица к сведениям соответствующей степени
секретности.
Карточка о допуске после внесения в нее отметки о согласовании
допуска лица к государственной тайне с органом безопасности возвращается
на предприятие.
Правовую основу взаимоотношений руководителя предприятия и
допущенного к государственной тайне лица составляет договор (контракт) об
оформлении допуска к государственной тайне, являющийся приложением к
трудовому договору, заключаемому в соответствии с Трудовым кодексом
РФ. Данный договор (контракт) оформляется с учетом ограничений,
предусмотренных ст. 24 Закона РФ «О государственной тайне» для лиц,
допущенных к государственной тайне; в нем отражаются взаимные
обязательства руководителя предприятия и работника. Договоры (контракты)
о допуске к государственной тайне и карточки о допуске хранятся в
соответствии с установленным порядком в структурном подразделении по
защите государственной тайны предприятия.
Переоформление
допуска
лиц
по
первой
и
второй
формам
производится соответственно через 10 или 15 лет только в случае перехода
указанных граждан на другое место работы. Переоформление допуска лиц,
постоянно работающих на предприятии, оформившем им допуск, не
140
производится. Независимо от сроков действия переоформление допуска по
первой или второй форме производится в случаях:
-
перевода или приема гражданина на работу (назначения на
должность) в подразделения по защите государственной тайны;
-
вступления
гражданина
в
брак
за
исключением
особо
оговоренных в нормативных документах случаев;
-
возвращения
из
длительных
свыше
(сроком
6
месяцев)
заграничных командировок;
-
выезда близких родственников допущенного к государственной
тайне лица за границу на постоянное место жительства;
-
возникновения обстоятельств, являющихся в соответствии с
Законом РФ «О государственной тайне» основаниями для отказа гражданину
в допуске к государственной тайне.
Перечень направляемых в орган безопасности документов определен в
Инструкции о порядке допуска должностных лиц и граждан Российской
Федерации к государственной тайне. При несоответствии формы допуска
лица степени секретности сведений, к которым оно фактически имеет доступ,
форма допуска должна быть изменена. Снижение формы допуска с первой на
вторую (третью) или со второй на третью оформляется распоряжением
руководителя предприятия с соответствующей отметкой в карточке о
допуске
к
государственной
тайне.
В
случае
производственной
необходимости руководитель, ранее снизивший форму допуска работнику,
может принять решение о ее восстановлении.
Предприятие
в
установленном
порядке
обязано
письменно
информировать орган безопасности о состоянии работы по допуску лиц к
государственной тайне (изменение формы допуска, прекращение допуска и
т.д.) и предоставлять отчетные документы и материалы.
3.5. Основания для отказа лицу в допуске к государственной тайне и условия
прекращения допуска
141
При оформлении допуска к государственной тайне в отношении
оформляемого лица и его близких родственников в порядке, установленном
законодательством
Российской
Федерации,
уполномоченные
органы
проводят проверочные мероприятия. Объем проверочных мероприятий
зависит от степени секретности сведений, к которым будет допускаться
оформляемое лицо. Проверочные мероприятия, связанные с допуском
граждан к государственной тайне, проводятся органами безопасности во
взаимодействии с органами, осуществляющими оперативно-розыскную
деятельность.
Цель проведения проверочных мероприятий — выявление оснований
для отказа гражданину в допуске к государственной тайне.
В соответствии со ст. 22 Закона РФ «О государственной тайне» такими
основаниями могут быть:
• признание
гражданина
судом
недееспособным,
ограниченно
дееспособным или особо опасным рецидивистом, нахождение его под
судом или следствием за государственные или иные тяжкие преступления,
наличие у него неснятой судимости за эти преступления;
• наличие у гражданина медицинских противопоказаний для работы с
использованием
сведений,
составляющих
государственную
тайну,
согласно перечню, утверждаемому в установленном порядке;
• постоянное проживание его самого и (или) его близких родственников за
границей и (или) оформление указанными лицами документов для выезда
на постоянное место жительства в другие государства;
• выявление в результате проведения проверочных мероприятий действий
оформляемого
лица,
создающих
угрозу
безопасности
Российской
Федерации;
• уклонение от проверочных мероприятий и (или) сообщение заведомо
ложных анкетных данных.
142
Решение об отказе гражданину в допуске к государственной тайне
принимается руководителем предприятия в индивидуальном порядке с
учетом результатов проверочных мероприятий.
После оформления в установленном порядке должностному ищу или
гражданину допуска к государственной тайне в процессе исполнения им
своих должностных (функциональных) обязанностей в зависимости от
сложившихся личных или иных обстоятельств могут возникнуть условия,
препятствующие наличию у него такого допуска. В соответствии со ст. 23
Закона РФ «О государственной тайне» допуск гражданина к государственной
тайне может быть прекращен в случае:
-
расторжения с ним трудового договора (контракта) в связи с
проведением организационных и (или) штатных мероприятий;
договором
однократного
(контрактом)
нарушения
им
обязательств,
предусмотренных
связанных
с
трудовым
сохранением
государственной тайны;
-
возникновения обстоятельств, являющихся в соответствии с
Законом РФ «О государственной тайне» основанием для отказа гражданину в
допуске к государственной тайне.
Прекращение
допуска
гражданина
к
государственной
тайне
производится по решению руководителя предприятия, на котором он
работает. Это решение оформляется в виде письменного мотивированного
заключения. В случае, когда заключение о нецелесообразности дальнейшего
допуска гражданина к сведениям, составляющим государственную тайну,
вынесено органом безопасности, оно является обязательным основанием для
отстранения этого гражданина от работы со сведениями, составляющими
государственную та и ну.
Решения руководителя предприятия об отказе гражданину в допуске к
государственной тайне, о прекращении допуска и расторжении на основании
этого трудового договора (контракта) с ним могут быть обжалованы в
вышестоящий орган государственной власти (организацию) или в суд.
143
Прекращение допуска гражданина к государственной тайне не освобождает
его от взятых обязательств по неразглашению сведений, составляющих
государственную тайну.
К сведениям, составляющим государственную тайну, без проведения
проверочных мероприятий допускаются члены Совета Федерации, депутаты
Государственной Думы, судьи на период исполнения ими своих полномочий,
а также адвокаты, участвующие в качестве защитников в уголовном
судопроизводстве по делам, связанным со сведениями, составляющими
государственную тайну.
Указанные лица предупреждаются о неразглашении государственной
тайны, ставшей им известной в связи с исполнением ими своих полномочий,
и о привлечении их к ответственности в случае ее разглашения, о чем они
дают расписку.
3.6. Организация доступа персонала предприятия к сведениям,
составляющим государственную тайну, и их носителям
Доступ к сведениям, составляющим государственную тайну, —
санкционированное
полномочным
должностным
лицом
ознакомление
конкретного лица со сведениями, составляющими государственную тайну.
Организация доступа должностного лица или гражданина к сведениям,
составляющим
государственную
тайну,
возлагается
на
руководителя
соответствующего органа государственной власти (предприятия), а также на
их
структурные
подразделения
по
защите
государственной
тайны.
Руководитель предприятия обязан осуществлять постоянный контроль за
соответствием формы допуска граждан степени секретности сведений, к
которым они фактически имеют доступ. Руководитель несет персональную
ответственность за создание таких условий, при которых должностное лицо
или гражданин знакомятся только с теми сведениями, составляющими
государственную тайну, и в таких объемах, которые необходимы ему для
выполнения его должностных (функциональных) обязанностей.
144
Основанием для непосредственного доступа лица к сведениям,
составляющим государственную тайну, и их носителем является решение
руководителя предприятия, оформляемое в карточке о допуске. После
принятия такого решения под контролем непосредственного руководителя
(руководителя предприятия) гражданин изучает положения нормативнометодических документов, определяющих вопросы защиты государственной
тайны,
внутренние
организационно-распорядительные
документы
предприятия, задачи и функции структурных подразделений в этой области.
Особое
внимание
должно
быть
уделено
специфике
деятельности
предприятия, а также особенностям проведения работ с использованием
сведений, составляющих государственную тайну. В случае необходимости
планируются занятия с лицами, допущенными к государственной тайне, эти
занятия проводятся с привлечением структурных подразделений по защите
государственной тайны.
Завершающим этапом подготовки к непосредственному выполнению
должностных обязанностей, связанных с использованием и защитой
сведений, составляющих государственную тайну, являются сдача зачетов по
знанию нормативно-методических документов и особенностей решения
данных задач на предприятии. Прием зачетов проводит комиссия, состоящая,
как правило, из сотрудников подразделений по защите государственной
тайны, а также подразделения, на должность в котором назначен данный
сотрудник. О результатах зачета составляется акт, который хранится в
структурном подразделении по защите государственной тайны.
В
дальнейшем
основные
положения
нормативно-методических
документов, определяющих вопросы зашиты государственной тайны,
обязанности и права лиц, допущенных к сведениям, составляющим
государственную тайну, ежегодно (с принятием зачетов) доводятся до
сведения всех сотрудников, имеющих допуск к государственной тайне.
3.7. Порядок доступа к конфиденциальной информации командированных
лиц
145
Доступ командированных лиц к коммерческой тайне на предприятиях,
куда они командируются, осуществляется в порядке, определяемом
обладателем
информации,
составляющей
коммерческую
тайну,
в
соответствии с установленным режимом коммерческой тайны. Порядок
доступа лиц к конфиденциальной информации иного характера в каждом
конкретном
случае
устанавливается
ее
обладателем,
наделенным
соответствующими полномочиями.
Доступ
командированных
лиц
к
сведениям,
составляющим
государственную тайну, осуществляется в соответствии с положениями
нормативных документов по защите государственной тайны.
Основаниями для доступа командированного лица к сведениям,
составляющим государственную тайну, и их носителям являются следующие
документы:
-паспорт
или
иной
документ,
удостоверяющий
личность
командированного лица;
-справка о допуске по соответствующей форме, подтверждающая
наличие у командированного лица права на ознакомление (работу) со
сведениями соответствующей степени секретности;
-предписание на выполнение задания.
Порядок оформления справки о допуске и предписания на выполнение
задания определен в Инструкции о порядке допуска должностных лиц и
граждан Российской Федерации к государственной тайне.
Справка о допуске подписывается руководителем подразделения по
защите государственной тайны или кадрового органа и заверяется печатью
предприятия, на котором постоянно работает командированное лицо.
Справка выдается подразделением по защите государственной тайны
под расписку командированного лица в журнале (карточке) учета выдачи
справок
о
допуске.
Срок
действия
справки
определяется
продолжительностью разовой командировки или сроком выполнения
задания, но не может превышать одного года. По истечении этих сроков
146
справка возвращается в подразделение по защите государственной тайны,
которым она была выдана, и уничтожается под расписку двух его
сотрудников в упомянутом журнале (карточке). Делать в справке отметки,
содержащие сведения, составляющие государственную тайну, запрещено.
I
Предписание на выполнение задания подписывается руководителем
предприятия
или
соответствующего
структурного
подразделения
предприятия, заверяется печатью предприятия и выдается для посещения
только
одной
организации.
В
нем
кратко
указывается
основание
командирования и определяется, с какими сведениями, составляющими
государственную тайну, необходимо ознакомить командируемое лицо для
выполнения им служебного задания. В случае, когда в предписании
необходимо отразить сведения, составляющие государственную тайну, оно
пересылается почтой в порядке, установленном для секретных документов.
Командированное лицо может иметь доступ только к тем сведениям,
составляющим государственную тайну (их носителям), которые ему
необходимы
для
выполнения
задания,
указанного
в
предписании.
Непосредственный доступ командированного лица к конкретным сведениям
(их носителям) осуществляется с письменного разрешения руководителя
принимающей организации (ее структурного подразделения), которое
оформляется в соответствующей графе предписания на выполнение задания.
Указанное разрешение служит основанием для ознакомления (работы)
командированного лица с конкретными носителями сведений, составляющих
государственную тайну (секретными документами и материалами). Выдача
этих носителей командированному лицу для ознакомления (работы)
осуществляется в порядке, определенном нормативными документами по
защите государственной тайны.
По
завершении
командирования
лица
на
предприятие
и
его
ознакомления (работы) со сведениями, составляющими государственную
тайну, производится оформление документов командированного лица.
147
В предписании
на выполнение
задания, которое
остается на
предприятии, куда командировалось лицо, руководитель предприятия или
соответствующего структурного подразделения ставит отметку о степени
секретности
сведений,
командированное
с
лицо.
которыми
Отметка
фактически
ознакомилось
подтверждается
подписью
командированного лица, после чего предписание передается для хранения в
подразделение по защите государственной тайны предприятия.
В справке о допуске указывается степень секретности сведений, с
которыми ознакомилось командированное лицо, и дата ознакомления. Запись
заверяется
подписью
государственной
тайны
руководителя
предприятия
подразделения
и
печатью
по
защите
предприятия.
По
возвращении из командировки командированное лицо сдает справку о
допуске на хранение в подразделение по защите государственной тайны
организации, в которой постоянно работает это лицо.
В принимающей организации учет командированных лиц ведется в
соответствующем журнале. При регистрации командированного лица в
журнале отражаются его фамилия, имя и отчество, место работы, должность,
цель и срок командировки, номер и дата командировочного удостоверения. В
случае, если в ходе командирования необходимо ознакомление (работа)
командированного лица со сведениями, составляющими государственную
тайну, в данном журнале указываются регистрационные номера предписания
на выполнение задания и справки о допуске.
Руководитель
предприятия
и
подразделение
по
защите
государственной тайны должны принимать все необходимые меры, чтобы
исключить
возможность
несанкционированного
ознакомления
командированных лиц со сведениями, составляющими государственную
тайну, не предусмотренными целями и задачами командировки и не
указанными в предписании на выполнение задания.
Прием посетителей, прибывающих на предприятие для обсуждения
вопросов, не носящих конфиденциального характера (прием на работу,
148
налаживание деловых контактов, решение бытовых и иных вопросов),
осуществляется в специально оборудованном для этих целей служебном
помещении. Такое помещение размещается, как правило, на контрольнопропускном пункте или в административном здании предприятия, имеющем
внешний выход. В указанном помещении должна быть документация,
необходимая для проведения встреч (переговоров): обязанности сотрудников
предприятия,
организующих
встречу
(прием
посетителей);
списки
должностных лиц предприятия и их контактные телефоны (в целях их
приглашения для участия во встрече по просьбе посетителей); распорядок
работы предприятия и т.д.
Для организации приема посетителей на предприятии решением его
руководителя назначаются ответственные должностные лица или сотрудники
предприятия — как правило, сотрудники кадрового органа, пресс-службы
руководителя предприятия или специально создаваемого структурного
подразделения. В ходе приема посетителей и обсуждения вопросов,
явившихся
целью
посещения
предприятия,
принимаются
меры,
направленные на исключение утечки сведений конфиденциального характера
об особенностях деятельности предприятия и проводимых на нем работах.
Учет посетителей с отражением рассмотренных в ходе беседы вопросов,
принятых решений, а также с указанием лиц, принимавших участие во
встрече, организуется и ведется в отдельном журнале, зарегистрированном в
подразделении,
отвечающем
за
делопроизводство
(кадровом
органе)
предприятия.
На предприятии не реже двух раз в год подводятся итоги работы по
приему посетителей (проведенных встреч, переговоров, бесед) в целях ее
анализа, выявления возможных каналов утечки сведений конфиденциального
характера, выработки конкретных мер, направленных на защиту этих
сведений. По результатам анализа формируются конкретные рекомендации
должностным
лицам
(структурным
подразделениям
предприятия),
отвечающим за прием посетителей.
149
ТЕМА 8. Организация внутриобъектового и пропускного
режимов на предприятии
1. Роль и место внутриобъектового и пропускного режимов в системе защиты
информации предприятия
Внутриобъектовый и пропускной режимы устанавливаются, как
правило,
на
предприятиях,
осуществляющих
в
предусмотренном
законодательством Российской Федерации порядке работу со сведениями,
составляющими государственную тайну. Вместе с тем нормы и правила
внутриобъектового режима могут быть применимы в случаях, когда
предприятие выполняет работы и с иными видами информации с
ограниченным доступом (конфиденциальной информацией).
Внутриобъектовый
и
пропускной
режимы
представляют
собой
основные элементы системы защиты информации предприятия. Организация
указанных режимов — обязательное требование нормативно-методических
документов
по
защите
государственной
тайны,
предоставляющих
предприятию право на проведение работ, связанных с использованием
сведений, составляющих государственную тайну.
Внутриобъектовый
и
пропускной
режимы
на
предприятии
организуются в целях исключения:
-проникновения посторонних лиц на охраняемую (режимную) территорию и
объекты предприятия, а также в служебные помещения, в которых
проводятся
работы
с
использованием
сведений,
составляющих
служебной
необходимости
государственную тайну;
-посещения
режимных
помещений
без
сотрудниками предприятия, не имеющими к ним прямого отношения, а
также командированными лицами, которым не предоставлено право на их
посещение (работу в них);
-вноса (ввоза) на территорию предприятия личных технических средств
(кино-, фото-, видео-, звукозаписывающей аппаратуры и других технических
средств);
150
выноса
-несанкционированного
(вывоза)
с
территории
предприятия
носителей сведений, составляющих государственную тайну;
-нарушений установленного регламента служебного времени, распорядка
работы структурных подразделений по защите государственной тайны, а
также установленного порядка и режима работы сотрудников предприятия и
командированных
лиц
с
носителями
сведений,
составляющих
государственную тайну.
Организация
и
обеспечение
внутриобъектового
и
пропускного
режимов на предприятии направлены на соблюдение всеми сотрудниками
предприятия
и
командированными
лицами
надлежащего
режима
секретности.
Режим секретности — это установленный нормативными актами
единый
порядок
обеспечения
защиты
сведений,
составляющих
государственную тайну, включающий систему административно-правовых,
организационных, инженерно-технических и других мер.
Таким образом, внутриобъектовый и пропускной режимы являются
неотъемлемой частью комплекса мероприятий, направленных на защиту
сведений, составляющих
государственную
тайну, и сохранность
их
носителей.
2. Работа по организации внутриобъектового режима. Основные подходы и
принципы
Внутриобъектовый режим — комплекс мероприятий, направленных
на обеспечение установленного режима секретности непосредственно в
структурных подразделениях, на объектах и в служебных помещениях
предприятия.
Основными направлениями работы по организации внутриобъектового
режима на предприятии являются:
151
-
определение общих требований режима секретности на предприятии в
соответствии с положениями нормативных правовых актов и указаний
вышестоящих органов государственной власти (организаций);
-
ограничение круга лиц, допускаемых к сведениям, составляющим
государственную тайну, и их носителям;
-
регламентация непосредственной работы сотрудников предприятия, а
также командированных лиц, с носителями сведений, составляющих
государственную тайну;
-
планирование комплекса мероприятий, направленных на исключение
утечки сведений, составляющих государственную тайну, и утрат носителей
этих сведений;
-
организация контроля со стороны должностных лиц предприятия и
структурных
подразделений
по
защите
государственной
тайны
за
выполнением требований по режиму секретности на предприятии;
-
организация работы с персоналом предприятия, допущенным к
сведениям, составляющим государственную тайну, а также с вновь
принимаемыми на работу гражданами.
Задачи по организации внутриобъектового режима на предприятии
возлагаются, как правило, на заместителя руководителя предприятия,
отвечающего за вопросы защиты государственной тайны. Заместитель
руководителя
предприятия
работу
по
формированию
системы
внутриобъектового режима организует на основе всестороннего анализа
возможных каналов утечки сведений, составляющих государственную тайну,
при проведении предприятием всех видов работ.
В
ходе
используются
выполнения
следующие
этой
работы
основные
руководством
подходы
к
предприятия
организации
внутриобъектового режима:
-
определение
ответственности
руководителей
подразделений
и
должностных лиц за защиту государственной тайны;
152
-
четкое разграничение функций, возлагаемых на соответствующие
структурные подразделения предприятия (служба безопасности, режимносекретное подразделение, подразделение противодействия иностранным
техническим разведкам, служба охраны и др.);
-
создание эффективной системы контроля за выполнением мероприятий
по режиму секретности и обеспечению сохранности носителей сведений,
составляющих государственную тайну.
Руководитель предприятия и соответствующие должностные лица
должны обеспечить соблюдение основных
принципов
формирования
системы внутриобъектового режима:
-
принципа персональной ответственности руководителей структурных
подразделений, других должностных лиц и сотрудников предприятия за
выполнение задач в области защиты государственной тайны;
-
принципа комплексного использования имеющихся сил и средств для
решения задач по защите государственной тайны;
-
принципа полного охвата всех направлений деятельности предприятия,
в ходе работы по которым возможна утечка сведений, составляющих
государственную тайну, или утрата носителей этих сведений.
Внутриобъектовый режим предусматривает следующие меры:
-
выявление возможных каналов утечки сведений, составляющих
государственную тайну, и реализация мер, направленных на закрытие этих
каналов;
-
отнесение сведений к государственной тайне, засекречивание и
рассекречивание сведений и их носителей;
-
лицензирование и сертификация деятельности в области защиты
информации;
-
подбор и изучение кандидатур лиц для назначения на должности,
требующие допуска к государственной тайне, оформление необходимых
документов;
153
-
распределение обязанностей в области защиты государственной тайны
между должностными лицами и сотрудниками предприятия;
-
определение круга должностных лиц, имеющих право разрешать
ознакомление
(работу)
персонала
со
сведениями,
составляющими
государственную тайну;
-
создание структурных подразделений, решающих задачи по защите
государственной тайны, и определение их функций;
-
предоставление сотрудникам предприятия и командированным лицам
только того объема информации, который необходим им для выполнения их
должностных (функциональных) обязанностей;
-допуск и непосредственный доступ сотрудников предприятия к сведениям,
составляющим государственную тайну (их носителям), ограничение круга
лиц, допускаемых к данным сведениям;
-
проведение работы среди сотрудников, допущенных к государственной
тайне, по разъяснению требований режима секретности, повышению
бдительности и персональной ответственности за сохранность доверенных
сведений;
-
учет, хранение, размножение, уничтожение носителей сведений,
составляющих государственную тайну, установление режима и порядка
работы сотрудников предприятия с этими носителями сведений;
-
противодействие иностранным техническим разведкам и техническая
защита информации;
-
организация подготовки, переподготовки и повышения квалификации
сотрудников предприятия, допущенных к государственной тайне;
-
организация и проведение совещаний, в ходе которых обсуждаются
вопросы, содержащие сведения, составляющие государственную тайну;
-
защита государственной тайны в ходе сотрудничества предприятия с
иностранными партнерами (фирмами), в том числе при подготовке и
проведении приема иностранных делегаций на предприятии;
154
-
защита
государственной
тайны
при
выполнении
научно-
исследовательских, опытно-конструкторских и других видов совместных
работ, связанных с передачей сведений, составляющих государственную
тайну, другим предприятиям;
-
финансовое, материально-техническое и иные виды обеспечения
защиты государственной тайны;
-
исключение утечки сведений, составляющих государственную тайну, в
ходе издательской (публикаторской) и рекламной деятельности предприятия;
-
выделение и оборудование режимных помещений, осуществление
контроля доступа персонала и посетителей в эти помещения, исключение
возможности бесконтрольного доступа в них;
-
проведение аналитической работы, выработка на основе ее результатов
перспективных (прогнозных) оценок состояния дел в области зашиты
государственной тайны;
-
определение внутреннего распорядка и регламента предприятия;
-
контроль порядка использования технических средств передачи и
обработки информации, средств размножения, копирования носителей
сведений, составляющих государственную тайну, и иных технических
средств и устройств;
-
контроль эффективности решения задач по защите государственной
тайны
должностными
лицами
и
структурными
подразделениями
предприятия;
-
контроль
наличия
носителей
сведений,
составляющих
государственную тайну.
3. Силы и средства, используемые при организации внутриобъектового
режима
Важнейшую роль в организации внутриобъектового режима играют
руководитель предприятия и его заместитель, в соответствии со своими
должностными обязанностями непосредственно возглавляющий работу по
155
защите государственной тайны. В соответствии с нормативными актами
непосредственная
ответственность
за
организацию
и
осуществление
мероприятий по защите государственной тайны возлагается на руководителя
предприятия. Руководитель предприятия, с учетом анализа состояния защиты
государственной тайны и результатов контроля эффективности решения
задач по
защите государственной
тайны
должностными
лицами
и
структурными подразделениями предприятия, определяет (уточняет) задачи
этим должностным лицам и структурным подразделениям.
Руководитель предприятия обязан:
- проявлять высокую требовательность к должностным лицам и сотрудникам
предприятия, принимать меры по недопущению разглашения сведений,
составляющих государственную тайну, утрат носителей сведений, строго
взыскивать
с
сотрудников
предприятия,
допускающих
факты
безответственности и халатности в работе со сведениями, составляющими
государственную тайну;
-
оценивать деятельность сотрудников предприятия в области зашиты
государственной тайны;
-
направлять работу должностных лиц и сотрудников предприятия на
строгое соблюдение требований режима секретности.
Заместитель руководителя предприятия отвечает за практическую
деятельность структурных подразделений предприятия и должностных лиц
по защите государственной тайны. В рамках деятельности по организации
внутриобъектового режима он выполняет следующие основные функции:
-
непосредственно
руководит
разработкой
организационно-
планирующих документов предприятия по защите государственной тайны,
организует контроль за исполнением содержащихся в них требований;
-
максимально ограничивает круг должностных лиц, допускаемых к
сведениям, составляющим государственную тайну;
- лично возглавляет работу на предприятии по защите государственной
тайны:
156
-
организует
проведение
систематического
анализа
деятельности
структурных подразделений и должностных лиц предприятия, направленной
на обеспечение защиты государственной тайны;
-
организует и поддерживает строгий порядок в разработке, учете,
хранении
и
уничтожении
носителей
сведений,
составляющих
государственную тайну, и в обращении с ними;
-
организует
защиту
информации
при
использовании
средств
автоматизации;
-
организует подбор, расстановку и обучение сотрудников структурных
подразделений по защите государственной тайны;
-
обеспечивает необходимые условия для правильной организации
режима секретности, учета, хранения, уничтожения носителей сведений,
составляющих государственную тайну, и обращения с ними;
-
принимает
меры
по
защите
государственной
тайны
при
взаимодействии предприятия с иностранными партнерами;
- лично инструктирует членов комиссии предприятия по проверке наличия
носителей сведений, составляющих государственную тайну, отбору и
уничтожению носителей, утративших актуальность и практическое значение,
а также не требующихся в работе.
Для
организации
внутриобъектового
режима
используется
совокупность имеющихся на предприятии структурных подразделений,
выполняющих функции защиты государственной тайны, а также других
подразделений, решающих задачи в данной сфере, и применяемых этими
подразделениями средств защиты информации.
В организации внутриобъектового режима участвуют следующие
основные структурные подразделения предприятия: режимно-секретное
подразделение,
служба
безопасности
противодействия
иностранным
предприятия,
подразделение
техническим разведкам, подразделение
охраны (в части вопросов контроля внутренних объектов и служебных
помещений предприятия).
157
Ведущую
роль
в
организации
внутриобъектового
режима
на
предприятии, а также осуществлении контроля эффективности проводимых в
этих целях мероприятий играет режимно-секретное подразделение. Оно
выполняет следующие основные задачи:
-
разработка совместно с другими подразделениями предприятия
мероприятий по организации внутриобъектового режима;
круга
подготовка предложений руководству предприятия по ограничению
лиц,
допускаемых
к
конкретным
сведениям,
составляющим
государственную тайну, и их носителям;
-
организация и ведение учета, обеспечение хранения, своевременное
уничтожение носителей сведений, составляющих государственную тайну;
-
контроль
за порядком
обращения
сотрудников
предприятия
с
носителями сведений, составляющих государственную тайну;
-
участие
в
выработке
мер
по
исключению
утечки
сведений,
составляющих государственную тайну, при взаимодействии предприятия с
иностранными предприятиями и организациями, приеме иностранных
делегаций;
-
комплексный анализ состояния работы на предприятии по защите
государственной
тайны,
эффективности
принимаемых
должностными
лицами и структурными подразделениями мер;
-
участие в разработке развернутых перечней сведений, подлежащих
засекречиванию, в работе экспертных комиссий по рассекречиванию
сведений и их носителей;
-
непосредственное участие в оформлении допуска к государственной
тайне для сотрудников предприятия, разработка номенклатуры должностей
предприятия,
подлежащих
оформлению
на
допуск
к
сведениям,
составляющим государственную тайну;
-
организация
и
ведение
учета
нарушений
требований
режима
секретности, анализ причин данных нарушений;
158
-
координация деятельности структурных подразделений предприятия в
области зашиты государственной тайны;
-
участие в проведении служебных расследований в случае утраты или
хищения носителей сведений, составляющих государственную тайну, по
фактам разглашения сведений, составляющих государственную тайну;
-
проведение инструктажа работников предприятия, допущенных к
сведениям, составляющим государственную тайну, в том числе выезжающих
за границу, контроль знания ими положений нормативных актов по вопросам
режима секретности;
-
организация и ведение учета осведомленности лиц в сведениях,
составляющих государственную тайну;
-
участие в организации и обеспечении пропускного режима и охраны
предприятия и его объектов.
Сотрудники
режимно-секретного
подразделения
при
решении
возложенных на них задач имеют право:
-
требовать от всех сотрудников предприятия соблюдения режима
секретности;
-
проверять
состояние
режима
секретности
в
структурных
подразделениях предприятия и подчиненных организациях (филиалах,
представительствах);
-
требовать от сотрудников предприятия письменных объяснений в
случае разглашения сведений, утраты носителей сведений или других
нарушений режима секретности;
-
вырабатывать
рекомендации
руководителям
структурных
подразделений предприятия по вопросам защиты государственной тайны;
-
готовить руководителю предприятия мотивированные предложения о
запрещении ведения тех или иных работ в случае отсутствия необходимых
условий для обеспечения защиты государственной тайны или о привлечении
к ответственности работников, допустивших нарушения режима секретности.
159
Наряду с режимно-секретным подразделением важную роль в
организации внутриобъектового режима на предприятии играет служба
безопасности. Она создается решением руководителя на предприятиях,
выполняющих
работы
конфиденциальной
одновременно
информации,
в
с
том
несколькими
числе
и
со
видами
сведениями,
составляющими государственную тайну. В этом случае режимно-секретное
подразделение предприятия может структурно входить в состав службы
безопасности, и задачи, им решаемые, возлагаются также на службу
безопасности. Вместе с тем наряду со службой безопасности в структуре
предприятия
может
быть
предусмотрено
самостоятельное
режимно-
секретное подразделение. В этом случае задачи службы безопасности
предприятия в области организации внутриобъектового режима следующие:
-
обеспечение экономической безопасности, охраны собственности
предприятия;
-
организация конфиденциального делопроизводства, учета, хранения и
уничтожения документов (материалов), содержащих конфиденциальную
информацию;
-
зашита
конфиденциальной
информации
при
осуществлении
внешнеэкономической деятельности предприятия;
-
контроль
выполнения
требований
нормативно-методических
и
внутренних организационно-распорядительных документов предприятия по
обеспечению зашиты охраняемой информации;
-
выявление и закрытие возможных каналов утечки конфиденциальной
информации;
-
разработка
системы
организационных
и
технических
мер,
регламентирующих внутриобъектовый режим предприятия, и контроль за их
выполнением;
-
контроль за порядком изготовления, учета, хранения, использования
бланков служебных удостоверений, печатей, штампов предприятия, а также
160
металлических и мастичных печатей с индивидуальными учетными
номерами;
-
организация
приема
и
передачи
информации
и
открытой
корреспонденции с использованием различных технических средств связи
(телетайп, телефакс, электронная почта и т.п.);
-
разработка требований к режимным помещениям, проведение их
аттестации, организация установки и эксплуатации технических средств
защиты информации;
-
участие в экспертизе материалов, предназначенных для открытого
опубликования;
-
организация и проведение служебных расследований по фактам
нарушений требований, касающихся защиты охраняемой информации, а
также внутриобъектового режима на предприятии;
-
осуществление взаимодействия с правоохранительными и другими
государственными
органами
по
вопросам
обеспечения
безопасности
предприятия.
Подразделения предприятия, решающие задачи по организации
внутриобъектового режима, в своей деятельности используют различные
средства
защиты
информации.
Технические,
криптографические
и
программные средства защиты информации были нами рассмотрены ранее.
В
решении
задач
организационного
обеспечения
информационной
безопасности предприятия важную роль играют организационные средства
защиты информации.
Под организационными средствами защиты информации понимается
комплекс
мероприятий,
планируемых
и
осуществляемых
в
целях
организации внутриобъектового режима. Они являются, по сути, связующим
звеном между персоналом предприятия и различными техническими и
иными средствами, используемыми в целях организации и обеспечения
режима секретности.
161
Наиболее эффективны следующие меры по защите информации,
относящиеся к организационным средствам защиты информации:
-
организация разработки, внедрения и использования различных
средств и систем защиты информации;
-
организация разработки, размножения, учета и уничтожения носителей
конфиденциальной информации с использованием технических средств;
-
контроль за соблюдением персоналом предприятия установленных
требований при использовании объектов информатизации;
-
анализ эффективности функционирования технических систем и
средств защиты информации:
-разработка и внедрение в практику инструкций и иных документов,
регламентирующих порядок и правила обращения с конфиденциальной
информацией.
Порядок организации внутриобъектового режима, задачи, решаемые
должностными лицами и структурными подразделениями предприятия,
отражаются в разрабатываемых на предприятии внутренних организационнораспорядительных документах, утверждаемых руководителем предприятия.
Сотрудники, в установленном порядке допущенные к информации с
ограниченным доступом и осуществляющие непосредственную работу с этой
информацией,
несут
ответственность
за
соблюдение
требований
нормативных актов по порядку обращения с носителями конфиденциальной
информации и за сохранность этих носителей.
Сотрудники, допущенные к конфиденциальной информации, обязаны:
-
знать порядок отнесения информации к категории конфиденциальной,
порядок засекречивания сведений, составляющих государственную тайну, а
также положения действующего на предприятии развернутого перечня
сведений, подлежащих засекречиванию;
-
соблюдать
установленный
порядок
работы
со
сведениями
конфиденциального характера и их носителями;
162
-
строго
хранить
ставшие
известными
им
в
силу
выполнения
должностных (функциональных) обязанностей сведения конфиденциального
характера;
-
принимать меры по недопущению разглашения другими сотрудниками
предприятия конфиденциальной информации, об имевших место таких
фактах и предпосылках к ним информировать службу безопасности
(режимно-секретное подразделение);
-
знакомиться (работать) только с той конфиденциальной информацией
(ее носителями), к которой они имеют оформленный остановленном порядке
допуск;
-
знать степень секретности (конфиденциальности) проводимых работ
(мероприятий), разрабатываемых
документов
(материалов), соблюдать
установленные правила работы и обращения с этими документами
(материалами);
-
соблюдать
установленный
порядок
приема-передачи,
хранения
носителей конфиденциальной информации, не допускать обезличенного
пользования ими:
-
обеспечивать на своем рабочем месте такое расположение носителей
конфиденциальной
информации,
которое
позволяет
исключить
несанкционированное ознакомление с ними (их содержанием) посторонних
лиц,
а
также
сотрудников
предприятия,
не
имеющих
к
ним
непосредственного отношения;
-
в порядке, определенном нормативными актами, обеспечивать учет
носителей конфиденциальной информации, а также нанесение на указанные
носители необходимых реквизитов;
-
в
определенном
руководителем
предприятия
(структурного
подразделения) объеме ознакамливать сотрудников своего предприятия и
командированных
лиц
с
содержанием
носителей
конфиденциальной
информации, а также с тематикой и содержанием проводимых работ;
163
-
информировать руководителя предприятия и его заместителя о
предпринимавшихся
предприятий,
посторонними
иностранными
лицами,
представителями
гражданами
попытках
других
получения
конфиденциальной информации;
-
вопросы выезда за границу в служебные командировки, по частным
делам и с другими целями решать в соответствии с нормативными актами и
указаниями органа государственной власти и руководителя предприятия.
Сотрудникам,
допущенным
к
конфиденциальной
информации,
запрещается:
-
нарушать установленный порядок обращения с носителями
конфиденциальной информации;
-
выполнять работы с носителями конфиденциальной информации вне
служебных помещений и рабочих мест;
-
сообщать
сведения
конфиденциального
характера
сотрудникам
предприятия, не имеющим к ним непосредственного отношения, и
посторонним лицам;
-
выполнять записи конфиденциального характера на неучтенных в
установленном порядке носителях, в том числе магнитных;
-
сообщать конфиденциальные сведения кому бы то ни было по
открытым средствам связи (телефон, факс, мобильная связь, электронная
почта и т.п.);
-допускать
информации,
обезличенное
пользование
принимать
и
носителями
передавать
конфиденциальной
указанные
носители
без
соответствующих расписок;
-
хранить носители конфиденциальной информации на столах, открытых
стеллажах, в незапертых хранилищах, шкафах, сейфах, оставлять не
запертыми
служебные
кабинеты,
в
которых
хранятся
носители
конфиденциальной информации;
164
-
накапливать сведения конфиденциального характера на своем рабочем
месте, в открытых носителях (в том числе в электронном виде), в открытых
материалах.
Перечисленные обязанности доводятся до сведения всех сотрудников
предприятия,
работающих
с
конфиденциальной
информацией
(ее
носителями), под расписку в журнале, хранящемся в режимно-секретном
подразделении (службе безопасности). Эти обязанности доводятся также до
сведения
лиц,
вновь
назначенных
на
соответствующие
должности
(прибывших на предприятие).
4. Требования к помещениям, в которых проводятся работы с
конфиденциальной информацией или хранятся носители информации
Организация внутриобъектового и пропускного режимов имеет целью
исключение проникновения посторонних лиц в режимные помещения
предприятия, а также несанкционированного посещения таких помещений
сотрудниками предприятия и командированными лицами, не имеющими
прямого отношения к проводимым в них работам.
К помещениям, предназначенным для ведения работ с использованием
сведений, составляющих государственную тайну, или для хранения их
носителей, предъявляется ряд требований. На практике данные требования,
как правило, распространяются на служебные помещения и хранилища
предприятия, в которых используются в работе или хранятся не только
названные сведения, но и другие виды конфиденциальной информации (или
ее носители). Это позволяет обеспечить сохранение конфиденциальности
проводимых в указанных помещениях работ, а также надежную сохранность
носителей конфиденциальной информации.
Размещение и оборудование указанных режимных помещений должны
исключать возможность бесконтрольного проникновения в них посторонних
лиц
и
гарантировать
сохранность
находящихся
в
них
носителей
165
конфиденциальной
информации.
Поэтому
к
данным
помещениям
предъявляются особые требования режима секретности.
Входные
двери
этих
помещений
оборудуются
замками,
гарантирующими надежное закрытие помещений в нерабочее время, в них
также могут устанавливаться кодовые и электронные замки и автоматические
турникеты.
Режимные помещения, в которых в нерабочее время хранятся носители
конфиденциальной информации, оснащаются охранной сигнализацией,
связанной
с
караульным
помещением,
пультом
централизованного
наблюдения за сигнализацией службы охраны или с дежурным по
предприятию.
Режимные помещения, в которых имеются технические средства,
разрабатываются, испытываются или эксплуатируются специальные изделия,
имеющие охраняемые характеристики, оборудуются в соответствии с
требованиями по противодействию иностранным техническим разведкам и
технической защите информации.
Перед началом эксплуатации режимные помещения обследуются
комиссией, назначаемой руководителем предприятия, и аттестуются на
соответствие требованиям, предъявляемым к помещениям для проведения
работ с конкретным видом конфиденциальной информации. Результаты
работы
комиссии
проведения
оформляются
конкретных
видов
актом
работ,
пригодности
утверждаемым
помещения
для
руководителем
предприятия. Обследование и аттестация режимных помещений проводится
не реже одного раза в 5 лет, а также после их ремонта или реконструкции.
В эти помещения допускается строго ограниченный круг сотрудников
предприятия, имеющих прямое отношение к ведущимся в них работам.
Кроме того, в них допускаются руководитель предприятия, его заместитель,
руководитель службы безопасности, руководитель режимно-секретного
подразделения и их заместители. Доступ других сотрудников предприятия в
эти помещения в случае крайней служебной необходимости может быть
166
разрешен заместителем руководителя предприятия, руководителем режимносекретного подразделения или его заместителем.
Для осуществления приема и выдачи носителей конфиденциальной
информации
подразделений
режимные
помещения
(режимно-секретного
соответствующих
подразделения
структурных
или
службы
безопасности) оборудуются специальными окнами, не выходящими в общий
коридор, или выделяется часть рабочей комнаты, изолированная барьером.
Размер режимных помещений определяется исходя из функций этих
помещений. Для ознакомления и работы с носителями конфиденциальной
информации в помещениях службы безопасности (режимно-секретного
подразделения) выделяются специальные комнаты (кабины).
В режимных помещениях службы безопасности (режимно-секретного
подразделения) запрещается работать с документами, не имеющими
непосредственного отношения к основной деятельности данной службы
(подразделения), а также хранить посторонние предметы.
Для хранения носителей конфиденциальной информации помещения
обеспечиваются необходимым количеством хранилищ, замки которых
оборудуются приспособлениями для опечатывания. Хранилища и ключи от
хранилищ
учитываются
в
службе
безопасности
(режимно-секретном
подразделении). Хранилища, а также входные двери помещений, в которых
они находятся, оборудуются надежными замками с двумя экземплярами
ключей от них, один из которых в опечатанном пенале (пакете) хранится у
руководителя службы безопасности (режимно-секретного подразделения).
Второй экземпляр ключей в опечатанном виде хранится у руководителя
предприятия или у его заместителя.
В нерабочее время ключи от хранилищ и от входных дверей режимных
помещений, в отдельных пеналах, опечатанных дежурным по службе
безопасности
(режимно-секретному
подразделению),
передаются
на
хранение службе охраны или дежурному по предприятию.
167
По окончании рабочего дня все хранилища и режимные помещения
закрываются и опечатываются. Хранилища и входные двери помещений, в
которых
они
находятся,
опечатываются
разными
печатями.
При
опечатывании мастика (пластилин) или сургуч накладываются таким
образом, чтобы исключить их снятие без повреждения оттиска печати.
Режимные
помещения,
в
которых
хранятся
носители
конфиденциальной информации, с опечатанными входными дверями и
пеналы с ключами от них сдаются под охрану службе охраны или дежурному
по предприятию с указанием времени приема-сдачи и проставлением
соответствующих
отметок
о
включении
и
выключении
охранной
сигнализации. Порядок приема-сдачи под охрану режимных помещений
определяется
инструкцией,
специально
безопасности
(режимно-секретным
разрабатываемой
подразделением)
и
службой
утверждаемой
руководителем предприятия.
Сдачу под охрану и вскрытие помещений производят ответственные за
эти помещения сотрудники предприятия на основании утвержденных
руководителем предприятия списков этих сотрудников с образцами их
подписей. Списки находятся в службе охраны или у дежурного по
предприятию. Сотрудники предприятия, которым предоставлено право
вскрытия, сдачи под охрану и опечатывания помещений, отвечают за
соблюдение в этих помещениях установленных требований режима
секретности.
При
отсутствии
сотрудников
предприятия,
ответственных
за
помещения, в которых хранятся носители конфиденциальной информации,
данные помещения могут быть вскрыты комиссией, создаваемой по
указанию руководителя предприятия (его заместителя) с составлением акта.
Перед вскрытием помещений сотрудники, ответственные за них,
проверяют целостность печатей и исправность замков. При обнаружении
нарушения целостности оттисков печатей, повреждения замков, а также
других признаков, указывающих на возможное проникновение в эти
168
помещения или хранилища посторонних лиц, вскрытие не производят, о
случившемся
составляют
акт
и
немедленно
ставят
в
известность
руководителя предприятия, руководителя службы безопасности (режимносекретного
подразделения)
и
орган
безопасности.
Одновременно
принимаются меры по охране места происшествия, до прибытия сотрудников
органа безопасности в эти режимные помещения никто не допускается.
В случае утраты ключа от хранилища или от входной двери помещения
режимно-секретного подразделения (службы безопасности) немедленно
ставят в известность руководителя этого подразделения. В установленном
порядке осуществляют замену замка или его секрета. Хранение носителей
конфиденциальной информации в хранилищах, от которых утрачены ключи,
до замены замка пли изменения его секрета запрещается.
Уборка и другие необходимые хозяйственные работы в помещениях
проводятся в присутствии сотрудников, отвечающих за находящиеся в этих
помещениях носители конфиденциальной информации. Во время уборки и
хозяйственных работ все носители информации должны быть убраны в
соответствующие сейфы (хранилища) и опечатаны.
Порядок вскрытия режимных помещений, эвакуации и дальнейшего
хранения носителей конфиденциальной информации в случае пожара,
аварии, стихийного бедствия и при возникновении других чрезвычайных
ситуаций
определяется
инструкцией,
утверждаемой
руководителем
предприятия. Инструкция хранится у дежурного по предприятию и в службе
охраны.
Для
обеспечения
эвакуации
носителей
конфиденциальной
информации, каждое режимное помещение или хранилище, где они
постоянно хранятся, обеспечивается необходимым оборудованием или
специальной тарой (упаковкой) в количестве, необходимом для эвакуации
всех находящихся в помещении носителей конфиденциальной информации.
Места нахождения оборудования и специальной тары (упаковки) должны
быть известны и доступны лицам, осуществляющим эвакуацию носителей
конфиденциальной информации.
169
При
возникновении
чрезвычайной
ситуации
дежурный
по
предприятию и сотрудники службы охраны немедленно вызывают пожарную
охрану
или
иную
аварийную
службу,
сообщают
о
происшедшем
руководителю предприятия, руководителю службы безопасности (режимносекретного подразделения), в орган безопасности и принимают меры по
ликвидации последствий чрезвычайного происшествия.
5. Цели и задачи пропускного режима
Пропускной
режим
—
это
совокупность
норм
и
правил,
регламентирующих порядок входа на территорию предприятия и выхода лиц,
въезда и выезда транспортных средств, вноса и выноса ввоза и вывоза
носителей сведений конфиденциального характера, а также мероприятий по
реализации названных норм и правил с использованием имеющихся сил и
средств.
Сущность пропускного режима заключается в объединении усилий, а
также сил и средств для достижения основной цели организации
пропускного
режима
—
исключения
несанкционированного
(бесконтрольного) пребывания на территории предприятия посторонних лиц
и (или) транспорта.
Под
посторонними
лицами
ИЛИ
транспортом
понимаются
соответственно граждане или автомобильный и другой транспорт, не
имеющие права посещения (даже разового) территории предприятия или
пребывания на ней.
При организации пропускного режима на предприятии используются
следующие основные термины и понятия:
охраняемая территория — территория предприятия (включающая его
объекты и служебные помещения), на которой установлен и реализуется
комплекс мероприятий пропускного и внутри-объектового режимов;
территория с особым режимом пропуска (локальная зона) —
территория
предприятия
(с
расположенными
на
ней
объектами
и
170
служебными помещениями), на которой устанавливаются дополнительные
меры по обеспечению внутриобъектового и пропускного режимов;
пропуск — оформленный в установленном порядке именной документ,
подтверждающий право законного пребывания должностного лица или
гражданина на территории предприятия (его объектах или в служебных
помещениях).
Основными задачами пропускного режима являются:
недопущение
-
проникновения
посторонних
лиц
на
территорию
(объекты) или в служебные помещения предприятия;
исключение посещения служебных помещений предприятия без
-
служебной необходимости сотрудниками предприятия и командированными
лицами;
предотвращение вноса (ввоза) на территорию предприятия личных
-
технических средств (кино-, фото-, видео-, звукозаписывающей аппаратуры и
др.);
-
исключение несанкционированного выноса (вывоза) с территории
предприятия носителей конфиденциальной информации;
-
предотвращение хищения носителей конфиденциальной информации.
Необходимо руководствоваться следующими основными принципами
организации пропускного режима на предприятии:
• централизация системы управления пропускным режимом;
• комплексный подход к использованию сил и средств для решения
задач пропускного режима;
• максимальное использование элементов автоматизации;
• оперативное реагирование и принятие решений в чрезвычайных
ситуациях.
6. Основные элементы системы организации пропускного режима,
используемые силы и средства
В целях выполнения задач пропускного режима на территории и
объектах, а также в служебных помещениях на предприятиях создается
171
система организации пропускного режима, в рамках которой обеспечивается
комплексное применение имеющихся сил и средств.
Основными элементами системы организации пропускного режима
являются:
-
режимно-секретное подразделение;
-
служба безопасности предприятия;
-
бюро пропусков;
-
контрольно-пропускные пункты.
Режимно-секретное подразделение и служба безопасности предприятия
организуют
выполнение
комплекса
мероприятий
по
обеспечению
пропускного режима и осуществляют постоянный контроль эффективности
их реализации.
Организация пропускного режима. Система регулирования доступа в
организацию должна предусматривать:
• объективное определение надежности лиц, допускаемых к работе;
• максимальное ограничение количества лиц, допускаемых на объекты
фирмы;
• установление
для
каждого
работника
посетителей)
(или
дифференцированного по времени, месту и виду деятельности права
доступа на объект;
• четкое
определение
порядка
выдачи
разрешений
и
оформление
документов для входа (въезда) на объект;
• определение объемов контрольно-пропускных функций на каждом
пропускном и проездном пункте;
• оборудование контрольно-пропускных пунктов (постов) техническими
средствами, обеспечивающими достоверный
объективную
регистрацию
несанкционированного
(в
том
прохода
числе
контроль проходящих,
и
предотвращение
силового)
проникновения
посторонних лиц;
172
• высокую подготовленность и защищенность персонала контрольнопропускных пунктов.
Классификация зон безопасности по режиму доступа
Условия
доступа
посетител
ей
Свободны
й
Наличие
охраны
Контролир
уемая
Условия
доступа
сотрудник
ов
Места свободного Свободны
посещения
без й
ограничения
времени
Комнаты приема Свободны
посетителей
й
Свободны
й
Дистанц
ионное
наблюде
ние
II
Контролир
уемая
с
регистраци
ей доступа
Служебные
помещения,
кабинеты
сотрудников
Свободны
й
Контроли В
руемый с отдельн
регистрац ых зонах
ией
III
Ограничен
ного
доступа
По
служебны
м
удостовер
ениям
По
Усиленн
разовым
ая
пропускам охрана
с
сопровож
дающим
IV
Усиленног
о контроля
V
Строгого
режима
Секретариат,
служебные
помещения,
подразделения
ВТ,
архивы
множительной
техники
Кассовые,
операционные
залы,
материальные
склады. Основная
технология
производства или
деятельности
Кабинеты
руководства.
Комнаты
для
ведения
конфиденциальны
х
разговоров.
Специальные
хранилища.
Катег
ория
зоны
Наименова
ние зоны
0
Общего
доступа
I
Функциональное
назначение
Огранич
енный
Наличие
техническ
их средств
охраны
Нет
Средства
наблюден
ия
и
инженерн
ые
сооружени
я
Охранная
сигнализа
ция
и
инженерн
ые
сооружени
я
Средства
охраны,
контроля
и
наблюден
ия
По
По
Усиленн
спецдокум спецпропу ая
ентам
скам
охрана
Комплекс
ная
многорубе
жная
защита
По
По
Усиленн
спецдокум спецпропу ая
ентам
скам
охрана
Комплекс
ная
многорубе
жная
защита
173
Пропускной режим предусматривает:
-
установление определенного порядка допуска на территорию
объекта рабочих и служащих данного объекта и посетителей;
-
установление определенного порядка вывоза (выноса), ввоза
(вноса) продукции и материальных ценностей;
-
устройство ограждения, освещения, оборудование контрольно-
проходных и проездных пунктов (постов) и бюро пропусков средствами
сигнализации, связи и др. необходимой
техникой, обеспечивающей
осуществление пропускного режима, а также обеспечение их документацией
и инвентарем;
-
определение круга должностных лиц, имеющих право выдачи и
подписи всех видов пропусков;
-
оборудование камер хранения личных вещей и площадок для
личного автотранспорта.
Основные задачи бюро пропусков следующие:
-
учет, хранение всех видов пропусков, печатей, штампов, в том числе
используемых для проставления условных знаков (шифров);
-
оформление, выдача, замена и уничтожение пропусков;
-
обеспечение контрольно-пропускных пунктов образцами действующих
пропусков;
-
проведение проверок наличия бланков всех видов пропусков;
-
контроль за работой контрольно-пропускных пунктов.
В бюро пропусков находится список лиц, имеющих право подписи
заявок на выдачу разовых пропусков, с образцами их подписей. Бюро
пропусков оформляет постоянные и временные пропуска на основании
заявок на их выдачу, подписанных должностными лицами, определенными
распоряжением руководителя предприятия (его заместителя). В заявках
указывается, кому, по какому образцу и на какой срок и в какие структурные
подразделения (на объекты, в служебные помещения) необходимо выдать
пропуска.
174
Учет бланков удостоверений и пропусков, их оформление и выдача
осуществляются бюро пропусков в соответствующих учетно-контрольных
документах.
По окончании рабочего дня сотрудники бюро пропусков получают от
охраны выданные ими разовые пропуска с контрольными талонами к ним и
материальные пропуска под расписку в журнале учета разовых и
материальных пропусков.
Контроль, сличение и подклеивание пропусков к их корешкам
производится ежедневно сотрудниками бюро пропусков, выдавшими их в
этот же день.
Книжки использованных разовых и материальных пропусков с
подклеенными отрывными талонами, а также заявки на них хранятся в
течение
трех
месяцев,
после
чего
они
подлежат
уничтожению
в
соответствующем порядке.
На предприятиях, где штатным расписанием бюро пропусков не
предусмотрено,
приказом
руководителя
предприятия
назначаются
сотрудники предприятия, на которых возлагается выполнение функций бюро
пропусков. Если в бюро пропусков работают два сотрудника или более,
распределение
должностных
обязанностей
между
ними
утверждает
руководитель предприятия (его заместитель) или руководитель службы
безопасности.
Задачи контрольно-пропускных пунктов включают:
• непосредственный контроль за входом граждан на территорию (объекты)
предприятия и их выходом;
• учет
транспорта,
въезжающего
на
территорию
предприятия
и
выезжающего с нее;
• контроль законности
выноса (вывоза) с территории
предприятия
носителей конфиденциальной информации;
• контроль своевременности возврата посетителями предприятия разовых
пропусков;
175
• оперативное
реагирование
в
нештатных
ситуациях,
связанных
с
попытками проникновения посторонних лиц (транспорта) на территорию
(объекты) предприятия;
• взаимодействие с караулом (подразделениями охраны) при решении задач
обеспечения пропускного режима.
Для несения службы на контрольно-пропускных пунктах назначаются
наиболее
дисциплинированные
сотрудники,
способные
обеспечить
качественное выполнение задач контрольно-пропускной службы. Лица,
несущие службу на контрольно-пропускных пунктах, обязаны проявлять
бдительность, твердо знать образцы действующих пропусков всех видов и
проставляемые на них условные знаки (шифры). Эти лица при проверке
предъявляемых пропусков обязаны брать их в руки, особое внимание
обращая на соответствие фотографии личности предъявителя пропуска. При
проверке пропусков без фотографий (временных или разовых) лица, несущие
службу на контрольно-пропускных пунктах, обязаны производить сверку
пропусков с документами, удостоверяющими личность.
Особое внимание уделяется размещению в помещениях контрольнопропускных пунктов необходимой документации. В витринах под стеклом на
контрольно-пропускном пункте должны находиться:
-
выписка из инструкции по организации пропускного режима на
предприятии;
-
инструкции личному составу, несущему дежурство, в том числе
по действиям в случае пожара, стихийного бедствия и в других
чрезвычайных ситуациях;
-
образцы действующих пропусков всех видов;
-
списки должностных лиц, которым предоставлено право подписи
всех видов пропусков, с образцами их подписей;
-
номера телефонов для связи с оперативными службами (местных
и городских автоматических телефонных станций).
176
Основным средством обеспечения пропускного
режима служат
вводимые в установленном порядке и действующие в течение определенного
срока пропуска на территорию и объекты предприятия, в том числе
используемые с условными знаками (шифрами).
При организации пропускного режима используются следующие
виды пропусков:
постоянные — выдаются штатному персоналу предприятия;
временные — выдаются командированным на предприятие лицам —
сотрудникам других организаций, а также вновь принятым на работу
сотрудникам предприятия до оформления им постоянных пропусков;
разовые — выдаются на одно посещение посетителям предприятия и
действуют в течение рабочего дня;
материальные
—
выдаются
сотрудникам
предприятия
и
предназначены для вноса (выноса), ввоза (вывоза) имущества (изделий) и
других предметов.
Право подписи всех видов пропусков устанавливается приказом
руководителя предприятия.
Должностным лицам, которым для выполнения их должностных
обязанностей
необходимо
круглосуточное
посещение
всех
объектов
(служебных помещений) предприятия, выдаются соответствующие пропуска
(проставляются
необходимые
отметки).
Круг
таких
лиц
строго
ограничивается и определяется решением руководителя предприятия или его
заместителя.
Для ограничения входа на отдельные объекты (в служебные
помещения) предприятия на пропусках проставляются условные знаки
(шифры).
Кроме
того,
распоряжением
руководителя
предприятия
определяется перечень сотрудников предприятия, которым для выполнения
ими должностных обязанностей предоставляется право прохода через
контрольно-пропускные пункты с рабочими папками (портфелями, рабочими
чемоданами), предназначенными для переноски служебных документов
177
(иных материалов). Наличие у сотрудников такого права удостоверяется
проставлением в их пропусках соответствующих условных знаков (шифров).
На предприятиях, выполняющих работы с наиболее важными
сведениями, составляющими государственную тайну, могут выделяться
территории с особым режимом пропуска (локальные зоны). Эти зоны
создаются
путем
объединения
нескольких
режимных
помещений
и
территорий. Право прохода в такие зоны предоставляется сотрудникам
предприятия, имеющим непосредственное отношение к проводимым в них
работам.
Для
прохода
(допуска)
сотрудников
предприятия
(командированных лиц) на территории с особым режимом пропуска (в
локальные зоны) им взамен постоянных, временных или разовых пропусков
выдаются специальные пропуска. В отдельных случаях для этих целей могут
также
использоваться
условные
знаки
(шифры),
проставляемые
на
постоянных (временных или разовых) пропусках указанных лиц.
Бланки всех видов пропусков учитываются и хранятся в порядке,
установленном для бланков строгой отчетности. Они выдаются сотрудникам
предприятия (иным лицам) в соответствии с подписанными заявками и
хранятся как служебные документы.
Сотрудники, убывающие в отпуск (командировку, на длительное
лечение),
передают
пропуска
на
временное
хранение
своим
непосредственным начальникам (сдают в бюро пропусков). При увольнении
сотрудников предприятия пропуска у них отбирают.
Проверки наличия бланков всех видов пропусков осуществляют
представители службы безопасности (режимно-секретного подразделения) и
бюро пропусков предприятия в составе специально назначаемых для этих
целей комиссий.
Полная замена удостоверений и постоянных пропусков производится,
как правило, через 3-5 лет. Через 2-3 года производится перерегистрация с
проставлением соответствующей отметки.
178
Для перерегистрации, замены или изменения пропускных документов
ежегодно по состоянию на 1 января в службу безопасности направляются
отделом кадров списки сотрудников с указанием должности, фамилии,
имени, отчества и наименования документа с соответствующими пометками
(круглосуточно, рабочее время с
по
, с портфелем, в какую зону и т. п.).
В случае утраты (хищения) пропуска, использования его посторонними
лицами или обезличенного пользования пропуском, для изучения причин и
обстоятельств данного происшествия, а также для определения виновных лиц
назначается и проводится служебное расследование. Результаты служебного
расследования с анализом и выводами, включая меры ответственности,
применяемые
к
лицам,
нарушившим
установленные
требования
по
организации пропускного режима, объявляются в приказе руководителя
предприятия.
Изготовление бланков пропусков
осуществляют предприятия
и
организации, имеющие на это право. Образцы пропусков, проставляемые на
них условные знаки (шифры), период времени, в течение которого они
действуют, должностные лица, которым предоставляется право подписи всех
видов пропусков, утверждаются приказом руководителя предприятия.
Разовый пропуск действителен в течение 30 минут с момента выдачи
до входа в здание, а также в течение 15 минут после отметки на пропуске о
времени ухода посетителя из фирмы. Руководитель подразделения, в котором
находится посетитель, обязан на обороте разового пропуска сделать отметку
о времени ухода посетителя и расписаться с указанием своей фамилии.
Материальные
пропуска
выдаются
лицом,
ответственным
за
сохранность материальных средств.
Въезд на территорию предприятия (выезд) транспортных средств
осуществляется по пропускам, выдаваемым их водителям, или по спискам,
выданным на контрольно-пропускные пункты. В этих списках указываются
фамилии
водителей,
государственные
типы
(марки)
регистрационные
транспортных
номера.
Списки
средств
и
их
утверждаются
179
заместителем
руководителя
предприятия
или
уполномоченными
руководителями структурных подразделений предприятия. У водителя
транспортного средства, указанного в списке, проверяются документы,
удостоверяющие его личность.
На
предприятии
пропускного
режима,
разрабатывается
которая
инструкция
определяет
порядок
по
организации
организации
и
обеспечения пропускного режима, порядок и регламент работы бюро
пропусков и контрольно-пропускных пунктов, обязанности должностных лиц
и порядок их действий в различных ситуациях и другие вопросы. Инструкция
утверждается руководителем предприятия и доводится до сведения каждого
сотрудника предприятия в части, касающейся данного сотрудника. Эта
инструкция является одним из основных внутренних организационнораспорядительных документов.
Тема 9. Организация охраны территорий, зданий, помещений и
персонала
1. Организация охраны предприятия
Организация охраны — составная часть обшей системы защиты
конфиденциальной
информации
предприятия.
Вопросы
обеспечения
надежной охраны территории предприятия и его объектов неразрывно
связаны с задачами организации пропускного режима на предприятии. Силы
и средства, участвующие в решении этих задач, являются составными
элементами системы охраны предприятия.
От эффективности функционирования системы охраны в полной мере
зависят
возможность
и
уровень
решения
задач
пропускного
и
внутриобъектового режимов. Системы пропускного и внутриобъектового
режимов образуют следующие после системы охраны рубежи безопасности,
предотвращающие доступ злоумышленника к охраняемой предприятием
информации.
180
Главные цели охраны предприятия следующие:
-
предотвращение
попыток
проникновения
посторонних
лиц
(злоумышленников) на территорию (объекты) предприятия;
- своевременное обнаружение и задержание лиц, противоправно проникших
(пытающихся проникнуть) на охраняемую территорию;
- обеспечение сохранности находящихся на охраняемой территории
носителей конфиденциальной информации и материальных средств и
исключение, таким образом, нанесения ущерба предприятию;
- предупреждение происшествий на охраняемом объекте и ликвидация их
последствий.
К основным объектам охраны относятся:
-
территория предприятия;
-
расположенные
на
территории
предприятия
объекты
(здания,
сооружения);
-
носители конфиденциальной информации (документы, изделия);
-
материальные ценности (грузы).
Основными направлениями охранной деятельности службы безопасности
являются:
-
защита жизни и здоровья граждан;
-
охрана
имущества
собственников,
в
том
числе
при
его
транспортировке;
-
проектирование, монтаж и эксплуатационное обслуживание средств
охранно-пожарной сигнализации.
181
Основные направления охранной деятельности
Защита жизни и
здоровья людей
Охрана
имущества
собственников
Объекты:
Персонал
Объекты:
Стационарные
Подвижные
Транспортные
перевозки
Проектирование,
монтаж и
эксплуатационное
обслуживание средств
охранно-пожарной
сигнализации
Объекты:
Здания и помещения
Технические средства
обеспечения
производственной
деятельности
Каждое из указанных направлений имеет свои особенности при обеспечении
безопасности конкретного объекта защиты. Объектами охраны выступают:
-
стационарные объекты;
-
подвижные объекты;
-
персонал;
-
денежные средства, ценные бумаги и другие ценности.
Особыми объектами охраны являются руководство предприятия и
персонал, допущенный к конфиденциальной информации. Организация
охраны руководства и персонала предприятия регулируется отдельным
положением
(инструкцией),
предприятия,
и,
в
которое
утверждается
необходимых
случаях
руководителем
согласовывается
с
территориальными органами внутренних дел и органами безопасности.
Основные
цели
охраны
руководства
и
персонала
предприятия
—
обеспечение их личной безопасности в повседневных условиях и при
возникновении
чрезвычайных
ситуаций,
предотвращение
возможных
попыток завладения злоумышленниками защищаемой информацией путем
физического и иного насильственного воздействия на этих лиц, выработка
182
рекомендаций охраняемым лицам по особенностям поведения в различных
ситуациях.
Указанные
цели
подразделениями
достигаются
внутренних
дел,
в
тесном
органами
взаимодействии
безопасности,
а
с
также
подразделениями охраны (безопасности) других предприятий.
Основные задачи охраны перечисленных объектов следующие:
-
контроль объекта и охраняемой территории, в том числе территории с
особым режимом пропуска, в целях обнаружения и предотвращения попыток
несанкционированного
проникновения
на
них
посторонних
лиц
(злоумышленников);
-
обеспечение
проведения
конфиденциальности
закрытых
мероприятий
на
и
сохранения
предприятии
втайне
(его
фактов
объектах),
обсуждаемых или рассматриваемых на них вопросов;
-
сопровождение и охрана носителей конфиденциальной информации, в
том числе служебных документов предприятия, материальных ценностей и
грузов при их транспортировке и перевозке (доставке);
-
защита объектов и территорий с особым режимом пропуска от
насильственных действий и вооруженных нападений, которые могут нанести
ущерб предприятию;
-
выполнение
обеспечению
в
необходимых
случаях
личной охраны руководства
специальных
предприятия
задач
по
и персонала
предприятия, допущенного к конфиденциальной информации;
-
участие
в обеспечении
пропускного
режима
для
посетителей,
транспортных средств и грузов на охраняемой территории (объектах
предприятия) в целях установления личности и учета посетителей, контроля
за ввозом, вывозом носителей конфиденциальной информации, грузов,
материальных
ценностей,
предотвращения
их
несанкционированного
перемещения, а также фиксации следов скрытых и открытых попыток
хищения иного имущества предприятия;
183
-
систематический
анализ
эффективности
системы
охраны,
принимаемых должностными лицами мер по охране объектов предприятия и
обеспечению
сохранности
материальных
ценностей
носителей
и
грузов,
конфиденциальной
и
выработка
информации,
предложений
по
совершенствованию системы охраны.
Для реализации главных целей и основных задач охраны предприятия
(его объектов) создается система охраны.
Система охраны предприятия — совокупность используемых для
охраны предприятия сил и средств, а также способов и методов охраны
предприятия и его объектов. Она включает личный состав подразделений
охраны (караулов); технические средства охраны; места размещения личного
состава, выполняющего задачи охраны, и используемых технических
средств; методы охраны объектов. В качестве мест размещения личного
состава охраны может быть использован один из основных элементов
системы организации пропускного режима — контрольно-пропускные
пункты.
Используемые при охране предприятий технические средства охраны
делятся на две группы:
-
средства
обнаружения
(пожарная
и
охранная
сигнализация,
«тревожное» оповещение, охранное телевидение, охранное освещение,
аппаратура проверки почтовой корреспонденции, радиосвязь, прямая
внутренняя связь, прямая телефонная связь с милицией и др.);
-
средства обнаружения и ликвидации (средства пожаротушения,
средства индивидуальной защиты, газовые ловушки, автотранспорт, оружие,
инженерно-технические средства и др.).
Для
охраны
предприятий
и
их объектов
создаются
штатные
подразделения охраны, которые организационно могут быть объединены в
службу
охраны.
Служба
охраны
включает
посты
охраны,
группы
(подразделения) сотрудников охраны (в том числе подразделение личной
охраны руководства и персонала), группу охраны и сопровождения
184
материальных ценностей и грузов, «тревожную» группу (группу быстрого
реагирования),
а
также
подразделения
сторожевых
собак
(при
необходимости).
Однако наиболее часто подразделения охраны наряду с другими
подразделениями, решающими задачи по различным направлениям защиты
информации, объединяются в службу безопасности предприятия.
В своей деятельности по выполнению задач охраны предприятия
сотрудники
подразделения
охраны
руководствуются
должностными
обязанностями (инструкциями), которые разрабатываются совместно со
службой безопасности предприятия, а в некоторых случаях — во
взаимодействии с другими заинтересованными должностными лицами, и
утверждаются руководителем предприятия (его заместителем).
Основными
обязанностями
сотрудников
подразделений
охраны
являются:
-
обеспечение
защиты
охраняемых
объектов
от
противоправных
посягательств (действий злоумышленников и нарушителей);
-
осуществление
мероприятий
по
предупреждению
нарушений
пропускного и внутриобъектового режимов, установленных на предприятии;
-
пресечение преступлений и административных правонарушений на
охраняемых объектах предприятия;
-
поиск и задержание лиц, незаконно проникших на охраняемые
объекты;
-
участие в установленном порядке в осуществлении контроля за
соблюдением противопожарного режима, тушении пожаров, а также в
ликвидации последствий аварий, катастроф, стихийных бедствий и других
чрезвычайных ситуаций на охраняемых объектах;
-
участие в пределах компетенции в проведении мероприятий по
обеспечению
защиты
информации
и
сохранности
носителей
конфиденциальной информации;
185
- оказание в пределах компетенции содействия правоохранительным органам
в решении возложенных на них задач.
Сотрудники подразделений охраны имеют право при выполнении
возложенных задач в пределах охраняемых объектов:
-
требовать от работников, должностных лиц охраняемых объектов и
других граждан соблюдения пропускного и внутриобъектового режимов;
-
проверять на охраняемых объектах улиц документы, удостоверяющие
их личность, а также документы, дающие право на вход лих лиц, въезд
транспортных средств, внос (ввоз) имущества на охраняемые объекты, а
также на выход этих лиц, выезд транспортных средств, вынос (вывоз)
имущества с охраняемых объектов;
-
производить досмотр транспортных средств при их въезде на
охраняемые объекты и выезде с охраняемых объектов;
-
проверять условия хранения материальных ценностей (имущества) и
носителей
конфиденциальной
состояние
инженерно-технических
нарушений,
информации
способствующих
на
средств
хищениям
охраняемых
охраны,
объектах,
при
выявлении
материальных
ценностей
(имущества) или носителей конфиденциальной информации, а также
условий, которые могут привести к возникновению пожаров на охраняемых
объектах и создают угрозу безопасности людей, принимать меры по
пресечению указанных нарушений и ликвидации указанных условий;
-
производить административное задержание и доставлять в служебное
помещение
охраны
или
орган
внутренних
дел
лиц,
совершивших
преступления или административные правонарушения на охраняемых
объектах, производить личный досмотр, досмотр вещей, изъятие вещей и
документов,
являющихся
орудием
или
непосредственным
объектом
правонарушения, обеспечивать охрану места происшествия и сохранность
указанных вещей и документов;
-
беспрепятственно входить в помещения охраняемых объектов и
осматривать
их при
преследовании
лиц, незаконно
проникших
на
186
охраняемые объекты, а также для задержания лиц, подозреваемых в
совершении преступлений или административных правонарушений;
-
использовать
объектов
для
транспортные
преследования
средства
лиц,
собственников
совершивших
охраняемых
преступления
или
административные правонарушения на охраняемых объектах, и доставления
их в орган внутренних дел;
-
при необходимости в порядке, установленном законодательством
Российской Федерации, применять физическую силу, специальные средства
и огнестрельное оружие.
Права и обязанности сотрудников подразделения личной охраны
руководства
и
персонала
предприятия
отражаются в
утверждаемом
руководителем предприятия положении (инструкции), которое определяет
организацию и порядок охраны указанных лиц.
На предприятиях, входящих в структуру федеральных органов
исполнительной власти, для защиты охраняемых объектов, являющихся
государственной собственностью и находящихся в сфере ведения данных
органов, в соответствии с Федеральным законом «О ведомственной охране»
создаются и функционируют подразделения ведомственной охраны.
Охрана предприятия может обеспечиваться не только путем создания
перечисленных подразделений охраны, но и путем использования услуг
частных охранных предприятий, имеющих право в соответствии с
законодательством осуществлять этот вид деятельности. Порядок оказания
услуг такими предприятиями, права и обязанности их сотрудников при
выполнении задач охраны объектов определены Законом РФ «О частной
детективной и охранной деятельности в Российской Федерации».
Для организации охраны предприятия могут быть также использованы
силы и средства подразделений вневедомственной охраны при органах
внутренних дел. В этом случае применяются следующие основные способы
охраны объектов предприятия:
187
-
использование технических средств охраны (сигнализации), оконечные
устройства которых выведены на пульты централизованного наблюдения в
подразделения вневедомственной охраны;
-
несение дежурства сотрудниками подразделений вневедомственной
охраны непосредственно на объекте охраны.
Функции, возлагаемые на подразделения вневедомственной охраны, и
порядок их деятельности определяются Положением о вневедомственной
охране при органах внутренних дел Российской Федерации.
Главное требование, предъявляемое к системе охраны, — ее
надежность. Надежность охраны предприятия и его объектов достигается
эффективным применением сил и средств охраны, правильной организацией
и бдительным несением службы сотрудниками охраны (личным составом
караулов) на постах охраны.
Выбор конкретных сил и средств, применяемых для охраны объекта
предприятия, осуществляется на основе анализа возможных угроз его
безопасности. Немаловажное значение при этом имеет уровень подготовки и
профессионализм
сотрудников
охраны,
непосредственно
несущих
дежурство. Наличие конкретных угроз и возможность их реализации в
конкретной обстановке являются наиболее важными факторами, влияющими
на принятие руководством предприятия решения о выборе сил и средств
охраны его объектов.
Практика показывает, что наиболее часто встречаются следующие
основные причины нарушения порядка охраны объектов:
-
недооценка возможных угроз безопасности объекта на конкретных
рубежах (территориях) охраны;
-
некачественное (халатное) исполнение обязанностей сотрудниками
охраны при несении дежурства;
-
использование
нарушителем
(злоумышленником)
случайной
(нештатной) ситуации. Частным случаем подобной ситуации может быть
188
преднамеренное
создание
персоналом
службы
охраны
условий,
способствующих таким злоумышленным действиям.
Создание надежной системы охраны предприятия определяется
принятием правильного решения на основе анализа потенциальных угроз
безопасности охраняемого объекта и реальной оценки возможностей для
создания эффективной системы охраны с учетом имеющегося выбора сил и
средств.
Организация
системы
охраны
предприятия
и
его
объектов
устанавливается решением руководителя предприятия. Подготовку такого
решения осуществляют структурные подразделения, отвечающие за защиту
конфиденциальной информации и безопасность предприятия.
При организации системы охраны определяют:
-
способы охраны территории предприятия и его объектов;
-
количество постов, мест несения дежурства по охране объектов,
участки (зоны, территории) охраны;
-
количество и виды контрольно-пропускных пунктов, порядок и
особенности несения дежурства на этих пунктах сотрудниками охраны;
-
порядок и особенности действий личного состава охраны во всех
случаях (в том числе в экстренных ситуациях);
-
порядок и особенности применения (использования) технических
средств обнаружения и охраны на каждом участке (зоне, территории)
охраны.
В
целях
определения
задач,
основных
направлений
охраны,
используемых для осуществления охраны сил, средств, способов и методов
на предприятии разрабатывается инструкция по организации охраны
предприятия, его территории и объектов.
Данной инструкцией определяются также порядок и особенности
несения дежурства (выполнения задач) подразделениями охраны, порядок
действий личного состава подразделения охраны в различных ситуациях и
другие вопросы. Инструкция утверждается руководителем предприятия,
189
доводится под расписку до сведения личного состава подразделения охраны,
а также каждого сотрудника предприятия в части, касающейся данного
сотрудника.
Обеспечение безопасности стационарных объектов представляет собой
многогранный процесс реализации охранных мероприятий, по большей части
предупреждающего характера. Действительно, эффективной может считаться
лишь
такая
система
охраны,
которая
либо
просто
не
позволяет
злоумышленникам найти лазейку в режиме безопасности, либо создает
возможность пресечения преступных посягательств на самой ранней стадии.
В основе разработки системы защиты объекта и организации ее
функционирования лежит принцип создания последовательных рубежей
безопасности, на которых угрозы должны быть своевременно обнаружены.
Такие рубежи должны располагаться последовательно, от забора вокруг
территории объекта до главного, особо важного помещения, такого,
например, как хранилище ценностей и коммерческой информации.
Эффективность системы защиты оценивается как время с момента
возникновения угрозы до начала ее ликвидации. Чем более сложна и
разветвлена система защиты, тем больше времени требуется на ее
преодоление и тем больше вероятность того, что угроза будет обнаружена,
определена, отражена и ликвидирована.
К числу факторов, влияющих на выбор приемов и средств охраны,
относятся:
-
возможные способы преступных посягательств на охраняемый
объект;
-
степень технической укрепленности охраняемого объекта;
-
наличие и качество средств охранно-пожарной сигнализации;
-
наличие уязвимых мест в технической укрепленности объекта,
которые известны только охране и службе безопасности;
-
условия местности, на которой расположен охраняемый объект, а
также его конструктивные особенности;
190
-
режим
и
характер
работы
охраняемого
объекта,
его
технологические характеристики, имеющиеся на объекте материальные и
финансовые ценности;
-
режим охраны объекта;
-
количественные и качественные характеристики сил охраны;
-
вооруженность и техническая оснащенность охранников, наличие
у них автотранспорта, средств связи, сигнализации и специальных средств.
Режим охраны объекта по времени может иметь круглосуточный,
частичный (определенные часы суток) или выборочный характер. В
зависимости от количества используемых сил и средств, плотности контроля
территории и объекта режим охраны может быть простой или усиленный.
На значительной части охраняемых объектов охранники присутствуют
круглосуточно.
В
дневное
время
они
контролируют
посетителей,
прибывающих на объект, осуществляют контрольно-пропускной режим, а в
ночное время несут закрытую охрану объекта, принимая на себя полную
ответственность за его сохранность. Некоторые объекты охраняются лишь
эпизодически, т. е. выборочно по времени. К таким объектам относятся
квартиры, охраняемые на период отсутствия хозяина, временные хранилища
или территории в период завоза товарно-материальных ценностей и др.
Существует несколько видов охраны, в том числе:
-
охрана с помощью технических средств - с подключением на
пульт централизованного наблюдения и с установкой автоматической
сигнализации;
-
охрана путем выставления постов (силами отдела охраны или
милиции);
-
комбинированная охрана.
Одной из важных задач, решаемых подразделениями охраны, является
сопровождение
и
охрана
носителей
конфиденциальной
информации,
материальных ценностей и грузов при их транспортировке и перевозке
(доставке) на другие предприятия (объекты). В этом случае сотрудники
191
подразделений
охраны
обеспечивают
носители
(перевозящих)
защиту
конфиденциальной
лиц,
доставляющих
информации,
иные
материальные ценности и грузы в пункт назначения (на другие предприятия),
и охрану перечисленного имущества в порядке, определенном специально
разрабатываемой
на
предприятии
инструкцией
(положением),
либо
отдельным разделом ранее упоминавшейся инструкции по организации
охраны предприятия, его территории и объектов.
Для
выполнения
задач
перевозки
носителей
(доставки)
конфиденциальной информации, материальных ценностей и грузов приказом
руководителя
сотрудники
предприятия
назначаются
предприятия, способные
наиболее
в любых
подготовленные
условиях
обеспечить
сохранность перевозимого имущества. Сотрудники подразделения охраны
при этом обеспечивают охрану и защиту от хищения, кражи или иных
преднамеренных действий посторонних лиц, направленных на овладение
носителями конфиденциальной информации, материальными ценностями и
грузами. Подготовка сотрудников охраны к выполнению указанных задач
осуществляется с учетом выбора маршрута движения, способа доставки
(автомобильным, железнодорожным или авиационным транспортом) и
времени прибытия в пункт назначения.
При охране имущества и защите перевозящих (доставляющих) его лиц
сотрудники охраны обязаны путем применения всех имеющихся средств и
способов охраны обеспечить защиту указанных лиц, исключить хищение
имущества или завладение им посторонними лицами (злоумышленниками).
Обучение сотрудников подразделений охраны, в том числе в целях
повышения
квалификации,
организуется
по
решению
руководителя
предприятия в образовательных учреждениях (на курсах, в центрах
подготовки), имеющих право на осуществление соответствующего вида
образовательной деятельности.
2. Физическая защита объектов предприятия
192
В
настоящее
время
систему
охраны
объектов
предприятия,
выполняющего работы с использованием конфиденциальной информации,
невозможно представить без комплексного использования современных
технических средств и систем.
Предприятия,
работающие
со
сведениями,
составляющими
государственную тайну, иной информацией с ограниченным доступом,
широко используют при организации и обеспечении охраны территории и
объектов различные средства физической защиты. Под физической защитой
понимается
технических
совокупность
средств
организационных
и
действий
мероприятий,
подразделений
инженерно-
охраны
в
целях
предотвращения диверсий или хищений носителей конфиденциальной
информации и других материальных средств на охраняемых объектах
предприятия.
Создание и применение средств физической защиты для некоторых
категорий
объектов
является
обязательным
и
регулируется
законодательством Российской Федерации. Это, в первую очередь, относится
к объектам предприятий, осуществляющим деятельность по производству,
использованию,
хранению,
утилизации
и
транспортировке
ядерных
материалов или изделий на их основе, а также по проектированию,
строительству, эксплуатации и выводу из эксплуатации ядерных установок и
пунктов хранения ядерных материалов.
Применение средств физической защиты значительно повышает
эффективность функционирования системы охраны предприятия в целом, а, с
учетом специфики расположения некоторых объектов предприятия и
выполняемых ими задач, практически гарантирует достижение главных
целей и решение основных задач охраны предприятия.
При рассмотрении основных подходов к физической защите объектов
предприятия и принципов ее организации, а также при применении средств
физической защиты используются следующие термины и понятия:
193
допуск — разрешение на проведение определенной работы или на получение
определенных документов и сведений;
доступ — проход (проезд) в охраняемые зоны объекта предприятия;
защищенная зона — территория объекта предприятия, которая окружена
физическими
барьерами,
постоянно
находящимися
под
охраной
и
наблюдением, и доступ в которую ограничивается и контролируется;
нарушитель
—
лицо,
совершившее
или
пытающееся
совершить
несанкционированное действие, а также лицо, оказывающее ему содействие
в этом;
несанкционированное действие — хищение или попытка хищения
носителей
конфиденциальной
предприятия,
информации
осуществление
и
или
материальных
попытка
средств
осуществления
несанкционированного доступа, проноса (провоза) запрещенных предметов,
совершения диверсии, вывода из строя средств физической защиты;
несанкционированный доступ — проникновение лиц, не имеющих права
доступа, в охраняемые зоны, на объекты, в служебные помещения
предприятия;
обнаружение — установление факта несанкционированного действия;
периметр — граница охраняемой зоны, оборудованная физическими
барьерами и контрольно-пропускными пунктами;
подразделение охраны — вооруженное подразделение, выполняющее
задачи по охране и обороне объектов предприятия;
система охранной сигнализации — совокупность средств обнаружения,
тревожно-вызывной сигнализации, системы сбора, отображения и обработки
информации;
техническое средство обнаружения — устройство, предназначенное для
автоматической подачи сигнала тревоги в случае несанкционированного
действия;
физический
барьер
—
физическое
препятствие,
затрудняющее
проникновение нарушителя в охраняемые зоны.
194
Задачи физической защиты следующие:
-
предупреждение случаев несанкционированного доступа на объекты
предприятия;
-
своевременное
обнаружение
несанкционированных
действий
на
территории предприятия;
-
задержка
(замедление)
проникновения
нарушителя,
создание
препятствий его действиям,
-
пресечение
несанкционированных
действий
на
территории
предприятия;
-
задержание лиц, причастных к подготовке или совершению диверсии,
хищению
носителей
конфиденциальной
информации
или
иных
материальных ценностей предприятия.
В целях физической защиты территории и объектов предприятия
решением его руководителя
предназначенная
для
создается система физической
удержания
нарушителей
от
защиты,
совершения
противоправных действий или их обнаружения и задержки, принятия
ответных мер.
Эта система создается исходя из необходимости и целесообразности
при условии невозможности эффективного решения ранее перечисленных
задач с использованием традиционных сил и средств охраны предприятия.
Система физической защиты предприятия включает:
-
организационные мероприятия;
-
инженерно-технические средства;
-
действия подразделений охраны.
При создании системы физической защиты объектов предприятия
необходимо:
-
учитывать особенности предприятия, специфику расположения его
объектов, наличие территориально обособленных (удаленных) объектов,
виды работ, проводимых с использованием конфиденциальной информации,
а также степень ее конфиденциальности;
195
-
выбирать силы и средства физической защиты, в том числе структуру и
состав подразделений охраны, на основе анализа и оценки потенциальных
угроз объектам предприятия;
-
ограничивать количество сотрудников предприятия, допускаемых к
вопросам организации системы физической защиты, а также к используемым
инженерно-техническим средствам;
-
обеспечивать устойчивое функционирование элементов системы,
поддержание в работоспособном состоянии технических средств охраны.
Основу функционирования системы физической защиты составляют
организационные мероприятия. Они включают комплекс мер, принимаемых
руководством предприятия для физической защиты его объектов, а также
нормативно-методические и планирующие документы, регламентирующие
их осуществление.
Непосредственное
планирование
комплекса
организационных
мероприятий и контроль за их выполнением осуществляет служба
безопасности
предприятия
совместно
с
другими
его
структурными
подразделениями, участвующими в процессе защиты конфиденциальной
информации. Деятельность этих структурных подразделений координирует
заместитель руководителя предприятия, отвечающий за решение задач по
защите конфиденциальной информации.
В
целях
физической
зашиты
объектов
служба
безопасности
предприятия обеспечивает:
-
разработку, создание и функционирование системы физической
защиты;
-
проведение анализа уязвимости объекта для определения внутренних и
внешних угроз и вероятных способов их осуществления;
-
оценку возможного ущерба при реализации внутренних и внешних
угроз;
-
оценку эффективности действующей или проектируемой системы
физической защиты и определение путей ее совершенствования;
196
-
разработку с привлечением структурных подразделений предприятия и
утверждение в установленном порядке документов, регламентирующих
вопросы организации и осуществления пропускного режима на объектах
предприятия, охраны объектов предприятия;
-
контроль за соблюдением требований организационно-планирующих
документов по организации охраны и пропускного режима на предприятии.
В целях эффективного решения задач физической защиты объектов
используются
инженерно-технические
средства
защиты
информации,
которые в свою очередь являются элементом системы инженернотехнической защиты информации.
Система инженерно-технической защиты информации — совокупность
органов, решающих задачи инженерно-технической защиты информации,
используемых для этого технических средств и комплекса мероприятий,
проводимых
в
целях
обеспечения
информационной
безопасности
предприятия.
К основным задачам инженерно-технической защиты информации
относятся:
-
предотвращение проникновения посторонних лиц (злоумышленников)
к носителям
конфиденциальной
информации
в целях ее хищения,
уничтожения или изменения;
-
защита носителей конфиденциальной информации от уничтожения и
нанесения иного вреда в результате воздействия стихийных бедствий и
других чрезвычайных ситуаций;
-
закрытие возможных технических каналов утечки конфиденциальной
информации.
При постановке задач инженерно-технической защиты информации на
предприятии определяют:
-
перечень возможных угроз защищаемой информации предприятия;
-
объекты предприятия, подлежащие защите;
-
методы защиты информации;
197
-
порядок осуществления контроля эффективности решения задач
физической защиты объектов.
Для успешного выполнения поставленных задач в рамках системы
инженерно-технической
зашиты
информации
реализуется
комплекс
соответствующих организационных и технических мер.
Основными принципами создания системы инженерно-технической
защиты
информации,
обладающей
высокой
эффективностью
и
надежностью, являются:
скрытность — сохранение в тайне факта создания и особенностей
построения системы инженерно-технической защиты информации, а также
используемых в этих целях сил и средств зашиты информации;
гибкость — возможность оперативного реагирования на изменения степени
защищенности конфиденциальной информации в зависимости от выбора
критериев, способов и методов ее защиты;
многозональность — размещение источников информации в различных
зонах защиты с контролируемым уровнем безопасности, т.е. разделение
территории предприятия на зоны с различными уровнями доступа для
персонала
предприятия
соответствующих
категорий
(руководство
предприятия, руководители подразделений, отдельные должностные лица и
т.п.) и размещение объектов в разных зонах в зависимости от степени
важности хранящейся или обрабатываемой на этих объектах информации;
многорубежность — создание соответствующих рубежей защиты объектов
предприятия на границах выбранных зон зашиты информации.
На границах зон создаются, как правило, один или несколько рубежей
защиты. Многорубежность защиты объектов позволяет воздвигнуть одну или
несколько
преград
на возможном
направлении
действия
или пути
продвижения злоумышленника. На этих направлениях устанавливаются
контрольно-пропускные пункты или посты, обеспечивающие управление
доступом персонала предприятия (посетителей или командированных лиц) в
конкретную зону защиты информации. При необходимости рубежи защиты
198
могут создаваться и внутри зон. Эти рубежи могут оснащаться техническими
средствами
или включать специальные
посты
охраны
(контрольно-
пропускные пункты).
Основные методы инженерно-технической защиты информации на
предприятии:
-
создание
физических,
электронных
и
других
препятствий
злоумышленнику на пути к носителям конфиденциальной информации и ее
источникам;
-
введение злоумышленника в заблуждение с помощью технических
средств путем подготовки и распространения (навязывания) ложной
информации;
-
применение
различных
средств
контроля
несанкционированного
доступа для выявления попыток реализации злоумышленником угроз
безопасности информации и информирование о выявленных попытках
должностных лип, участвующих в выработке мер защиты информации на
объектах предприятия;
-
предупреждение должностных лиц и персонала предприятия о
возникновении чрезвычайных ситуаций на объектах;
-
организация служебной связи, системы оповещения и взаимодействия
элементов системы защиты конфиденциальной информации.
Инженерно-технические средства физической защиты состоят о
технических средств и физических барьеров.
К техническим средствам физической защиты относятся:
-средства охранной сигнализации, размещенные по периметру охраняемых
зон, зданий, сооружений и иных объектов предприятия, а также служебных
помещений в этих объектах;
- средства контроля прохода (доступа), установленные на контрольнопропускных пунктах, в охраняемых зданиях, сооружениях (объектах)
предприятия и в служебных помещениях;
199
-
средства наблюдения за периметрами охраняемых зон, контрольно-
пропускными
пунктами,
охраняемыми
зданиями,
сооружениями
предприятия, а также служебными помещениями;
-
средства специальной связи (в том числе — экстренной);
-
средства обнаружения проноса (провоза) запрещенных предметов,
взрывчатых веществ и предметов из металла (в том числе носителей
конфиденциальной информации);
-
средства систем жизнеобеспечения (электропитания, освещения и др.).
Перечисленными средствами оборудуются периметры охраняемых зон,
охраняемые здания, сооружения и помещения, а также контрольнопропускные пункты.
В современных системах физической защиты предприятий особое
место занимают средства охранной сигнализации, средства контроля прохода
(доступа), средства наблюдения за охраняемыми объектами.
Средства охранной сигнализации предназначены для своевременного
информирования соответствующих должностных лиц (сотрудников охраны
предприятия, операторов пультов охраны в караульных помещениях) о
нарушениях исходного состояния или установленного режима работы
оконечных устройств этих средств, вызванных несанкционированным
проникновением лиц в охраняемые зоны (территории), а также попытками
несанкционированного
вскрытия
охраняемых
объектов
(служебных
помещений) предприятия.
Средства контроля прохода (доступа) лиц на территорию (в
служебные
помещения)
предприятия
служат
для
ограничения
и
санкционирования передвижения (перемещения) сотрудников предприятия,
командированных лиц и посетителей на территории и объектах предприятия.
Основными видами средств контроля прохода (доступа) являются
заграждающие
устройства
и
устройства
идентификации
персонала.
Заграждающие устройства служат для создания физического препятствия
несанкционированному
перемещению
лиц,
транспортных
средств
на
200
объектах
(в
служебных
помещениях)
предприятия.
Приведение
заграждающих устройств в открытое или закрытое состояние обеспечивают
исполнительные механизмы. Существуют различные типы заграждающих
устройств: электронные, электромеханические, электромагнитные и др.
Устройства идентификации персонала предприятия и иных лиц фиксируют
(подтверждают) наличие или отсутствие у данного лица права (санкции) на
перемещение через заграждающие устройства.
Основные принципы организации и применения средств контроля
доступа и средств охранной сигнализации во многом совпадают, так как цели
использования этих средств одинаковы. Вместе с тем средства охранной
сигнализации
функционируют
в нерабочее
время, когда служебные
помещения (объекты) предприятия в установленном порядке сданы под
охрану караулу или оператору пульта управления охранными средствами.
Период функционирования средств контроля доступа начинается с момента
начала прохода на территорию предприятия его сотрудников и завершается
сдачей объектов предприятия под охрану и постановкой их на контроль
средствами охранной сигнализации.
Средства наблюдения за охраняемыми объектами обеспечивает
получение и документирование видеоинформации об обстановке на
охраняемом
объекте
в целях принятия
своевременного
решения
о
применении сил и средств охраны для пресечения (исключения) попыток
несанкционированного проникновения на объект посторонних лиц. Наиболее
широкое распространение в настоящее время получили телевизионные
системы наблюдения.
Системы наблюдения за охраняемыми объектами предназначены:
-для определения причин срабатывания средств охранной сигнализации,
установленной на объекте;
-
получения оперативной информации о проникновении на охраняемый
объект постороннего лица (злоумышленника);
201
-
контроля за действиями сотрудников (подразделений) охраны и
координации их действий при выполнении задач охраны объектов
предприятия;
- документирования информации о происшествиях и преступлениях,
совершенных на территории охраняемого объекта.
Все технические средства, входящие в систему физической защиты
предприятия, в случае отключения основного источника электропитания
должны сохранять работоспособность, что обеспечивается путем их
автоматического переключения на резервные источники.
Физические барьеры представляют собой:
-
строительные конструкции, установленные в зданиях и сооружениях
(стены, перекрытия, ворота, двери);
-
специально
разработанные
конструкции
(заграждения,
противотаранные устройства, решетки, усиленные двери, контейнеры);
-
иные физические препятствия, затрудняющие доступ объекты (в
служебные помещения) предприятия.
При выборе, разработке, установке и эксплуатации (применении)
физических барьеров учитывается степень конфиденциальности (важности)
проводимых предприятием работ, а также особенности расположения его
объектов (служебных помещений).
Важное место в системе физической защиты объектов пре приятия
занимают
подразделения
охраны,
являющиеся
структурными
подразделениями предприятия. Организационная структура и численность
подразделений охраны определяются в зависимости от особенностей
охраняемых объектов и степени оборудования их инженерно-техническими
средствами защиты, специфики несения дежурства по охране объектов, а
также от иных условий, связанных с обеспечением надежной защиты этих
объектов.
202
Тема 10. Организация защиты информации при осуществлении
рекламной и публикаторской деятельности
1. Общие положения защиты информации при осуществлении рекламной и
публикаторской деятельности
Работу современного предприятия невозможно представить без
публикаторской деятельности (в той или иной форме) и рекламных акций
различного характера. Вместе с тем, если предприятие работает с
конфиденциальной информацией, такие виды деятельности могут привести к
возникновению возможных каналов утечки этой информации.
Публикаторская
деятельность
предприятия
-
деятельность,
связанная с размещением различными способами (в СМИ, различных
изданиях и т.п.) информации о направлениях работы предприятия, не
преследующая рекламных целей.
Мероприятия по защите информации в процессе подготовки и
реализации рекламных и публикаторских (издательских) проектов должны
занимать особое место в повседневной деятельности предприятия.
Общие организационные мероприятия по защите информации в ходе
осуществления рекламной и публикаторской деятельности включаются в
план
мероприятий
по
защите
конфиденциальной
информации
на
предприятии на календарный год. Конкретные меры по защите информации,
направленные на исключение утечки информации конфиденциального
характера при проведении рекламных акций и реализации различных
издательских проектов, в том числе при подготовке публикаций в средствах
массовой информации (СМИ), научных периодических изданиях, сборниках,
включаются в соответствующие месячные планы работы структурных
подразделений предприятия.
Особое значение при осуществлении предприятием рекламной и
публикаторской
деятельности
имеет
работа
экспертной
комиссии
предприятия, направленная на предотвращение утечки конфиденциальной
203
информации.
Организация
и
порядок
работы
экспертной
комиссии
рассмотрены в следующих подразделах.
2. Организация защиты информации в ходе проведения мероприятий
рекламного характера
В соответствии с Федеральным законом «О рекламе» в сфере рекламы
используются следующие основные понятия:
реклама — информация, распространенная любым способом, в любой
форме и с использованием любых средств, адресованная неопределенному
кругу
лиц
и
направленная
на
привлечение
внимания
к
объекту
рекламирования, формирование или поддержание интереса к нему и его
продвижение на рынке;
объект рекламирования — товар, средство его индивидуализации,
изготовитель
или
продавец
товара,
результаты
интеллектуальной
деятельности либо мероприятие (в том числе спортивное соревнование,
концерт, конкурс, фестиваль, основанные на риске игры, пари), на
привлечение внимания к которым направлена реклама;
ненадлежащая реклама — реклама, не соответствующая требованиям
законодательства Российской Федерации;
товар
—
продукт
деятельности
(в
том
числе
работа,
услуга),
предназначенный для продажи, обмена или иного введения в оборот;
рекламодатель
—
изготовитель
или
продавец
товара
либо
иное
определившее объект рекламирования и (или) содержание рекламы лицо;
рекламопроизводитель — лицо, осуществляющее полностью или частично
приведение информации в готовую для распространения в виде рекламы
форму;
рекламораспространитель — лицо, осуществляющее распространение
рекламы любым способом, в любой форме и с использованием любых
средств;
потребители рекламы — лица, на привлечение внимания которых к объекту
рекламирования направлена реклама.
204
С учетом положений законодательства РФ о рекламе, предприятие
может осуществлять следующие основные виды рекламной деятельности:
- наружная реклама, размещаемая на рекламных конструкциях в местах
общего пользования (под рекламными конструкциями в соответствии с
Федеральным
законом
«О
рекламе»
понимаются
щиты,
стенды,
строительные сетки, перетяжки, электронные табло и иные технические
средства стабильного территориального
размещения, монтируемые и
располагаемые на внешних стенах, крышах и иных конструктивных
элементах зданий, строений, сооружений или вне их, а также на
остановочных пунктах движения общественного транспорта);
-
реклама на телевидении и радио, а также в периодических печатных
изданиях;
-
реклама, распространяемая по сетям электросвязи и размещаемая в
почтовых отправлениях;
-
реклама на транспортных средствах и с их использованием;
-
реклама в ходе проведения конференций, симпозиумов, организуемых
и проводимых вне предприятия;
-
реклама, размещаемая в глобальных информационных сетях общего
пользования;
-
реклама в ходе проведения внутренних мероприятий с привлечением
(приглашением, участием) представителей сторонних организаций и СМИ.
Основными направлениями зашиты информации в ходе рекламной
деятельности являются:
-
подготовка
и
экспертиза
материалов,
предназначенных
для
использования в рекламной деятельности, на предмет отсутствия в них
информации с ограниченным доступом;
-
анализ материалов в процессе их подготовки рекламопроизводителем и
рекламораспространителем к размещению в средствах рекламы;
205
-
постоянный
контроль
порядка
распространения
и
содержания
распространенных рекламных материалов независимо от способа, формы и
периодичности их распространения.
При принятии руководителем предприятия решения о рекламировании
деятельности предприятия, а также производимых им товаров (оказываемых
услуг) должностное лицо, назначенное ответственным за подготовку
рекламных материалов и их передачу рекламопроизводителю и (или)
рекламораепространителю,
организует
работу,
направленную
на
предотвращение распространения в рекламе конфиденциальной информации.
Комплекс мероприятий по защите информации включает проведение
комиссией предприятия экспертизы подготовленных к распространению
материалов, анализ возможных форм, способов распространения рекламных
материалов и непосредственное взаимодействие в процессе подготовки и
распространения
материалов
с
рекламопроизводителем
и
рекламораспространителем. Один из важных элементов этой работы —
оценка комиссией предприятия, состоящей из компетентных специалистов,
содержания
рекламных
материалов
на
предмет
возможности
их
распространения. После получения положительного заключения экспертной
комиссии
предприятия
осуществляется
подготовка
договоров
с
рекламопроизводителем и (или) рекламораспространителем и передача им
рекламных материалов.
В дальнейшем предприятие постоянно контролирует содержание
рекламы до ее выхода в свет.
При проведении различных акций рекламного характера руководители
предприятий, а также индивидуальные предприниматели и юридические
лица (в том числе рекламопроизводители и рекламораспространители)
обязаны представлять в антимонопольный орган информацию, необходимую
для осуществления им полномочий по государственному контролю за
соблюдением законодательства Российской Федерации о рекламе, и
обеспечивать его уполномоченным должностным лицам доступ к такой
206
информации. Сведения, составляющие коммерческую, служебную и иную
охраняемую законом тайну и полученные антимонопольным органом при
осуществлении им своих полномочий, не подлежат разглашению, за
исключением предусмотренных законодательством случаев. При получении
запроса из антимонопольного органа руководитель предприятия организует
предоставление в установленный срок запрашиваемой информации и
направление органу, приславшему запрос, письменного уведомления о
невозможности ее распространения без согласия предприятия, являющегося
обладателем информации.
3. Защита информации при осуществлении публикаторской деятельности
Наряду с реализацией рекламных проектов предприятие и его
сотрудники принимают участие в подготовке и издании различных
материалов, содержащих информацию о товарах, услугах и проводимых
предприятием работах, в том числе научно-исследовательского характера.
Публикация указанных материалов может осуществляться:
-
в периодических печатных изданиях;
-
в глобальных информационных сетях;
-
в однократно издаваемых сборниках, энциклопедиях, материалах
конференций и т.п.;
-
в материалах диссертаций на соискание ученых степеней, деятельности
диссертационных и ученых советов научно-исследовательских организаций и
образовательных учреждений;
-
в материалах, содержащих результаты, выводы, заключения о
выполнении научных исследований и опытно-конструкторских разработок.
Усилия режимно-секретного подразделения (службы безопасности)
предприятия
при
осуществлении
публикаторской
деятельности
направляются на исключение утечки конфиденциальной информации. С этой
целью на предприятии разрабатывается инструкция, определяющая задачи в
207
данной области для всех должностных лиц (структурных подразделений)
предприятия.
Основными
направлениями
защиты
информации
в
ходе
публикаторской деятельности являются:
-
определение тематики издаваемых материалов в целях исключения из
них тематик, содержащих конфиденциальную информацию, подготовки
рекомендаций по исключению из них иной актуальной информации,
распространение которой может нанести ущерб предприятию;
-
письменное согласование содержания материалов и возможности их
издания с организациями — обладателями информации (осуществляется
ответственным за издание подразделением предприятия по согласованию со
службой безопасности или режимно-секретным подразделением в форме
письменного
запроса
в
организации,
являющиеся
заказчиками
или
соисполнителями проводимых совместных и других работ, сведения о
которых предполагается распространить);
-
предварительная экспертиза материалов, готовящихся к изданию,
экспертной комиссией предприятия, которая при необходимости готовит
рекомендации по частичному исключению из материалов конфиденциальной
и иной актуальной информации;
-
окончательная выборочная экспертиза подготовленных к изданию
материалов, определение тиража и способа их распространения;
-
контроль за выполнением работ по изданию (тиражированию,
размещению)
материалов
непосредственно
в
типографии
или
иной
организации в зависимости от выбранного способа распространения.
4. Организация подготовки материалов к открытому опубликованию
В целях недопущения утечки информации о деятельности предприятия,
содержащей сведения конфиденциального характера, на предприятии
планируется и проводится работа по анализу содержания материалов,
предназначенных для открытого распространения.
208
В рамках этой работы служба безопасности, режимно-секретное
подразделение или специально создаваемое в структуре предприятия
подразделение (специально назначенное должностное лицо) планирует и
осуществляет комплекс организационных мероприятий.
Сотрудники предприятия, принимающие непосредственное участие в
подготовке
материалов
к
открытому
опубликованию,
должны
руководствоваться положениями ст. 5 Закона РФ «О государственной тайне».
Перечнем
сведений, отнесенных
к государственной
тайне, другими
нормативными правовыми актами, также перечнем сведений, составляющих
коммерческую тайну предприятия.
Подготовка материалов к открытому опубликованию включает их
разработку авторами (должностными лицами), предварительную проверку их
содержания руководителями структурных подразделений предприятия,
согласование
возможности
безопасности
опубликования
(режимно-секретным
материалов
подразделением)
со
службой
предприятия,
экспертизу материалов в целях принятия решения об их опубликовании
(распространении). Подготовленные к открытому опубликованию материалы
не
должны
содержать
сведений,
составляющих
государственную,
коммерческую или служебную тайну, и иной информации с ограниченным
доступом, определенной нормативными правовыми актами.
Мероприятия, направленные на исключение открытого опубликования
информации с ограниченным доступом, включаются в план мероприятий по
защите конфиденциальной информации на предприятии на календарный год.
В их число, как правило, входят:
-
разработка
и
утверждение
руководителем
предприятия
организационно-распорядительных документов, определяющих порядок и
особенности работы по подготовке материалов к открытому опубликованию;
-
предварительный
анализ
материалов
и
их
согласование
с
руководителями структурных подразделений предприятия, сотрудники
которых осуществляют их подготовку к открытому опубликованию;
209
-
анализ материалов, готовящихся к открытому распространению,
службой безопасности (режимно-секретным подразделением) предприятия;
-
выборочный контроль изданных (опубликованных) материалов;
-
проведение занятий с сотрудниками предприятия по изучению
положений нормативных правовых актов и внутренних организационнораспорядительных документов предприятия;
-
взаимодействие с должностными лицами издательств (редакций),
типографий, СМИ и иных структур;
-
определение состава экспертной комиссии предприятия по оценке
возможности опубликования материалов и осуществление ее деятельности (в
том числе подготовка соответствующих заключений);
-
взаимодействие с другими предприятиями по вопросам открытого
опубликования материалов, содержащих информацию о проводимых этими
предприятиями совместных и других работах, а также с органами
государственной власти и предприятиями, являющимися заказчиками работ
и обладателями информации, которую планируется открыто опубликовать,
получение письменного согласия этих органов государственной власти
(предприятий) на открытое опубликование материалов;
-
проведение
периодического
анализа
эффективности
проводимых
мероприятий по исключению открытого опубликования конфиденциальной
информации и совершенствование этой работы на предприятии.
Ответственность
за
подготовку
материалов
к
открытому
опубликованию и соблюдение при этом требований по защите информации
несут авторы материалов, их непосредственные руководители (руководители
соответствующих структурных подразделений) и руководитель предприятия.
В
целях
возможности
оценки
открытого
степени
конфиденциальности
распространения
материалов
информации
и
проводится
их
экспертиза.
Для проведения экспертизы материалов, подготовленных к открытому
опубликованию, приказом руководителя предприятия создается экспертная
210
комиссия, как правило, сроком на один календарный год. В состав указанной
комиссии включаются сотрудники предприятия — специалисты в различных
областях
деятельности
предприятия.
Члены
комиссии
должны
в
необходимых случаях иметь допуск к государственной тайне, а также к иным
видам конфиденциальной информации предприятия. Сотрудники службы
безопасности и режимно-секретного подразделения в состав экспертной
комиссии не входят. В случае если член экспертной комиссии является
составителем, руководителем или редактором подготовленной к открытому
опубликованию работы (материалов), он также не может принимать участия
в работе экспертной комиссии по оценке этих материалов.
К проведению экспертизы по решению руководителя предприятия
может быть привлечен руководитель структурного подразделения, в котором
работает автор подготовленного материала. В работе экспертной комиссии
могут участвовать представители других предприятий, имеющих отношение
к рассматриваемым материалам (являющихся собственниками информации,
заказчиками проводимых работ и т.д.). Вопрос о привлечении этих
специалистов к работе в составе комиссии в каждом конкретном случае
письменно
согласовывается
с
руководителями
соответствующих
предприятий.
Руководитель предприятия — организатора экспертизы обязан создать
членам экспертной комиссии условия, обеспечивающие рассмотрение
материалов в соответствии с установленными требованиями, своевременно
знакомить их с поступающими на предприятие нормативными актами и
методическими документами по вопросам защиты информации и порядку
(особенностям) проведения экспертизы. Ознакомление членов экспертной
комиссии
с
безопасности
должностные
этими
документами
(режимно-секретного
лица,
на
которых
осуществляют
подразделения)
данные
сотрудники-службы
предприятия
вопросы
или
возложены
соответствующим приказом руководителя предприятия.
211
При подготовке и проведении экспертизы члены экспертной комиссии
обязаны:
-
знать перечни сведений, запрещенных к открытому опубликованию на
предприятии, и строго руководствоваться ими при проведении экспертизы;
-
при
обнаружении
в
рассматриваемых
материалах
сведений,
составляющих государственную, коммерческую, служебную или иную
охраняемую законом тайну, вынести заключение, запрещающее их открытое
опубликование. Такие материалы передаются руководителю предприятия
или его заместителю, отвечающему за вопросы защиты информации, для
принятия
решения
об
их
отнесении
в
установленном
порядке
к
конфиденциальной информации и об ограничении в связи с этим доступа к
данной информации;
—
проверять наличие письменного согласия руководителей предприятий
заказчиков
работ
(обладателей
информации)
на
опубликование
материалов или контролировать выполнение рекомендаций (заключений)
этих руководителей;
-
рассматривать материалы с учетом ранее опубликованных работ,
имеющих отношение к этим материалам, с тем, чтобы готовящаяся
публикация не привела к разглашению конфиденциальной информации и
нанесению, таким образом, ущерба предприятию;
-
при рассмотрении сборников материалов (статей) принимать решение о
возможности опубликования (издания) как всего сборника в целом, так и его
отдельных статей (материалов).
Члены экспертной комиссии имеют право:
-
получать
источниках,
от
автора
(авторов)
использованных
им
письменное
при
подтверждение
подготовке
материалов
об
к
опубликованию, а также иную информацию, необходимую для подготовки
заключения;
212
-
обращаться
в
установленном
порядке
за
консультацией
(разъяснениями) на другие предприятия, в органы государственной власти и
к их должностным лицам.
После изучения и анализа материалов, предназначенных для открытого
опубликования, экспертная комиссия готовит заключение о возможности
(невозможности) их открытого опубликования. Экспертное заключение
подписывается всеми членами комиссии, ее руководителем (председателем)
и утверждается руководителем предприятия — организатора экспертизы.
При
отсутствии
единого
мнения
экспертов
и
невозможности
формулирования вывода по результатам изучения материалов вопрос о
возможности
опубликования
решается
руководителем
вышестоящей
организации (органа государственной власти). В исключительных случаях,
при отсутствии вышестоящей организации (органа государственной власти)
решение о возможности открытого опубликования материалов выносится
руководителем
предприятия
самостоятельно
либо
совместно
с
руководителем предприятия — заказчика проводимых совместных работ.
Если заключение экспертной комиссии о возможности открытого
опубликования материалов — положительное, оно в установленном порядке
вместе с рассмотренными материалами передается в службу безопасности
(режимно-секретное подразделение) предприятия или уполномоченному
должностному лицу для принятия окончательного решения.
После
получения
установленном
разрешения
порядке
передаются
подготовленные
в
материалы
издательство
в
(редакцию,
представителям СМИ) для их опубликования (открытого распространения).
5. Основы организации защиты информации при взаимодействии со СМИ
Особое место в деятельности предприятий, взаимодействующих с
различными общественными объединениями, государственными органами и
организациями
(администрациями
самоуправления),
а
также
субъектов
широко
РФ,
органами
рекламирующих
местного
производимую
213
продукцию
(товары)
или
оказываемые
услуги,
занимают
вопросы
взаимодействия со СМИ.
Если предприятие в ходе повседневной деятельности выполняет
работы с использованием конфиденциальной информации, необходимо
выработать меры, направленные на исключение открытого распространения
этой информации, не допуская каких-либо ограничений законных прав и
свобод граждан Российской Федерации, а также свободы массовой
информации.
Основным нормативным правовым актом, определяющим общие
принципы свободы массовой информации и регулирующим вопросы
деятельности СМИ в Российской Федерации, является Закон РФ «О
средствах массовой информации». В соответствии со ст. 1 данного закона
деятельность по поиску, получению, производству и распространению
массовой информации не подлежит ограничениям за исключением случаев,
предусмотренных законодательством Российской Федерации о СМИ.
Основные понятия в области массовой информации:
средство массовой информации — периодическое печатное издание, радио, теле-, видеопрограмма, кинохроникальная
программа, иная форма
периодического распространения массовой информации;
периодическое печатное издание — газета, журнал, альманах, бюллетень,
иное издание, имеющее постоянное название, текущий номер и выходящее в
свет не реже одного раза в год;
редакция средства массовой информации — организация, учреждение,
предприятие либо гражданин, объединение граждан, осуществляющие
производство и выпуск средства массовой информации;
журналист — лицо, занимающееся редактированием, созданием, сбором или
подготовкой сообщений и материалов для редакции зарегистрированного
средства массовой информации, связанное с ней трудовыми или иными
договорными отношениями либо занимающееся такой деятельностью по ее
уполномочию;
214
цензура массовой информации — требование от редакции средства
массовой
информации
материалов
с
предварительного
должностными
лицами,
согласования
сообщений
государственными
и
органами,
организациями, учреждениями или общественными объединениями (кроме
случаев, когда должностное лицо является автором или интервьюируемым)
или наложение запрета на распространение сообщений и материалов.
В соответствии с положениями ст. 3 Закона РФ «О средствах массовой
информации»
в
Российской
Федерации
цензура
не
допускается.
Одновременно не допускается использование СМИ для разглашения
сведений,
составляющих
государственную
или
иную
специально
охраняемую законом тайну. В случае разглашения редакцией указанных
сведений деятельность средства массовой информации по решению
учредителя либо судом в порядке гражданского судопроизводства по иску
регистрирующего органа может быть прекращена или приостановлена.
Редакция СМИ имеет право в устной или в письменной форме
запрашивать информацию о деятельности государственных органов и
организаций, общественных объединений, их должностных лиц.
Руководители указанных органов, организаций и объединений, их
заместители, работники пресс-служб либо другие уполномоченные лица
обязаны
предоставить
СМИ
запрашиваемую
информацию.
Отказ
в
предоставлении запрашиваемой информации возможен, только если она
содержит сведения, составляющие государственную, коммерческую или
иную специально охраняемую законом тайну. Однако в этом случае
соответствующие
руководители
или
уполномоченные
ими
лица
в
направляемом в редакцию СМИ уведомлении обязаны указать причины, по
которым запрашиваемая информация не может быть от этих сведений
отделена.
В соответствии со ст. 47 Закона РФ «О средствах массовой
информации» журналист имеет право искать, запрашивать, получать и
распространять
информацию;
посещать
государственные
органы
и
215
организации, предприятия и учреждения, органы общественных объединений
либо их пресс-службы; быть принятым должностными лицами в связи с
запросом информации; получать доступ к документам и материалам, за
исключением
их
фрагментов,
содержащих
сведения,
составляющие
государственную, коммерческую или иную специально охраняемую законом
тайну. Наряду с этим в соответствии с положениями ст. 49 указанного закона
журналист обязан сохранять конфиденциальность полученной информации.
В целях реализации прав журналистов редакция СМИ имеет право
подать заявку в государственный орган, организацию, учреждение, орган
общественного объединения на аккредитацию при них своих журналистов в
целях
осуществления
корреспондентами
своей
профессиональной
деятельности и обеспечения доступа к источникам информации.
Аккредитация — одна из форм работы предприятия со СМИ. Она может
быть:
-
постоянной (на весь срок объявленной аккредитации для журналистов,
постоянно освещающих деятельность аккредитующего органа);
-
временной
сроком
(ограниченной
выполнения
журналистами
конкретных заданий своих редакций по освещению работы аккредитующего
органа);
-
специальной
(при
особом
режиме
проведения
конкретного
мероприятия);
-
разовой (на конкретное проводимое мероприятие).
Аккредитация
наиболее
позволяет
приемлемые
руководству
правила
предприятия
взаимодействия
со
выработать
СМИ
(их
представителями) в каждом конкретном случае.
Предприятие также может использовать следующие основные формы
работы со СМИ
-
подготовка сообщений и пресс-релизов;
-
проведение пресс-конференций и брифингов;
-
посещение объектов предприятия журналистами;
216
-
присутствие журналистов на проводимых мероприятиях;
-
официальные комментарии;
-
организация встреч с представителями СМИ.
Подготовка сообщений для СМИ является эффективным способом
привлечения внимания широких слоев общественности к проблеме,
имеющей большое значение. По жанру и тематике сообщения могут быть
различными: интервью с руководителем предприятия, статья эксперта,
комментарий ученого, особое мнение предприятия по значимому вопросу.
Пресс-релиз относится к числу самых распространенных способов
передачи актуальной информации прессе. После подготовки и оформления
его направляют почтой или по каналам электронной связи в различные СМИ.
Одновременно текст пресс-релиза может передаваться информационным
агентствам.
Пресс-конференции или брифинги — наиболее распространенные,
доступные и привычные формы информирования журналистов. Указанные
формы
основаны
на
диалоге
должностных
лиц
(руководителей)
и
представителей СМИ.
Посещение объектов предприятия и присутствие журналистов на
проводимых мероприятиях — достаточно эффективные формы работы с
журналистами. Они могут проводиться как по инициативе руководства
предприятия, так и средств массовой информации. Представители СМИ
знакомятся с размещением, структурой и направлениями деятельности
предприятия непосредственно на его территории (объектах).
Официальные комментарии - форма работы со СМИ, наиболее часто
используемая органами государственной власти, крупными предприятиями и
объединениями для информирования широкой общественности об их
позиции по наиболее актуальным и важным вопросам.
Руководство
представителями)
предприятия
должно
при
обеспечить
взаимодействии
сохранность
со
СМИ
(их
конфиденциальной
информации.
217
Основные направления защиты информации в ходе работы со
СМИ следующие:
-
проведение оценки материалов, передаваемых журналистам, на
предмет отсутствия в них конфиденциальной информации;
-
соблюдение установленных требований режима конфиденциальности
информации при проведении на территории предприятия (его объектах)
различных мероприятий с участием представителей СМИ;
-
регламентация проведения посещений, встреч, интервью и других
мероприятий, организуемых по инициативе СМИ;
-
исключение
мероприятий,
утечки
проводимых
конфиденциальной
с
участием
информации
журналистов
по
в
ходе
инициативе
предприятия;
-
подготовка
официальных
конфиденциальной
информации,
сообщений,
в
целях
не
содержащих
информирования
СМИ
о
деятельности предприятия.
Тема 11. Допуск предприятий к проведению работ со сведениями,
составляющими государственную тайну
1. Основные положения лицензирования деятельности предприятий в
области защиты государственной тайны
Основы понятия лицензирования и общие требования к алгоритму
лицензирования, функции и задачи, решаемые лицензирующими органами,
права и обязанности соискателей лицензий и лицензиатов, определены
Федеральным законом «О лицензировании отдельных видов деятельности».
Вместе с тем в соответствии с п. 2 ст. 1 данного федерального закона, его
действие не распространяется на деятельность, связанную с защитой
государственной тайны.
Предприятие, планирующее выполнять работы с использованием
сведений, составляющих государственную тайну, а также заниматься
деятельностью по защите указанных сведений, обязано в порядке,
установленном
нормативными
правовыми
актами
и
методическими
218
документами, получить лицензию на осуществление соответствующего вида
деятельности.
Допуск предприятий, учреждений и организаций к проведению работ,
связанных с использованием сведений, составляющих государственную
тайну, созданием средств защиты информации, а также с осуществлением
мероприятий и (или) оказанием услуг по защите государственной тайны,
осуществляется
путем
получения
ими
в
порядке,
устанавливаемом
Правительством Российской Федерации, лицензий на проведение работ со
сведениями соответствующей степени секретности.
Лицензия на проведение указанных работ выдается на основании
результатов
специальной
экспертизы
предприятия,
учреждения
и
организации и государственной аттестации их руководителей, ответственных
за защиту сведений, составляющих государственную тайну, расходы по
проведению
которых
относятся
на
счет
предприятия,
учреждения,
организации, получающих лицензию.
Лицензия
на
проведение
работ
с
использованием
сведений,
составляющих государственную тайну, выдается предприятию, учреждению,
организации при выполнении ими следующих условий:
• выполнение
требований
Правительством
нормативных
Российской
Федерации,
документов,
по
утверждаемых
обеспечению
защиты
сведений, составляющих государственную тайну, в процессе выполнения
работ, связанных с использованием указанных сведений;
• наличие в их структуре подразделений по защите государственной тайны
и специально подготовленных сотрудников для работы по защите
информации, количество и уровень квалификации которых достаточны
для обеспечения защиты государственной тайны;
• наличие у них сертифицированных средств защиты информации.
219
В
области
защиты
государственной
тайны
для
предприятий
законодательством Российской Федерации установлены следующие виды
деятельности, подлежащие лицензированию:
-
проведение
работ,
связанных
с
использованием
сведений,
составляющих государственную тайну;
-
проведение работ, связанных с созданием средств зашиты информации;
-
проведение работ, связанных с осуществлением мероприятий и (или)
оказанием услуг по защите государственной тайны.
Порядок организации и проведения работ по лицензированию
перечисленных видов деятельности предприятий определен Положением о
лицензировании деятельности предприятий, учреждений и организаций по
проведению работ, связанных с использованием сведений, составляющих
государственную тайну, созданием средств защиты информации, а также с
осуществлением
мероприятий
и
(или)
оказанием
услуг
по
защите
государственной тайны.
Органами, уполномоченными на ведение лицензионной деятельности в
сфере защиты государственной тайны, являются:
-
по
допуску
предприятий
к
проведению
работ,
связанных
использованием сведений, составляющих государственную
Федеральная
служба
безопасности
Российской
с
тайну, —
Федерации
и
ее
территориальные органы (на территории Российской Федерации), Служба
внешней разведки Российской Федерации (за рубежом);
-
на право проведения работ, связанных с созданием средств защиты
информации, — Федеральная служба по техническому и экспортному
контролю, Служба внешней разведки Российской Федерации, Министерство
обороны
Российской
Федерации,
Федеральная
служба
безопасности
Российской Федерации (в пределах их компетенции);
-
на право осуществления мероприятий и (или) оказания услуг в области
защиты государственной тайны — Федеральная служба безопасности
Российской Федерации и ее территориальные органы, Федеральная служба
220
по техническому и экспортному контролю, Служба внешней разведки
Российской Федерации (в пределах их компетенции).
Вместе с тем лицензирование деятельности предприятий Федеральной
службы безопасности РФ, Министерства обороны РФ, Федеральной службы
по техническому и экспортному контролю, Службы внешней разведки РФ по
допуску к проведению работ, связанных с использованием сведений,
составляющих государственную тайну, осуществляется руководителями
органов государственной власти Российской Федерации, которым подчинены
указанные предприятия.
В соответствии с Законом РФ «О государственной тайне» допуск к
государственной тайне предприятий, учреждений и организаций — это
оформление их права на проведение работ с использованием сведений,
составляющих государственную тайну. В связи с этим в учебнике
рассматривается лишь один из перечисленных видов лицензирования —
лицензирование работ, связанных с использованием сведений, составляющих
государственную
тайну.
Отдельные
виды
деятельности
могут
осуществляться предприятием только при наличии у него лицензии на
проведение работ со сведениями, составляющими государственную тайну.
Работы по этим видам деятельности, в силу специфики их выполнения,
проводят
лишь
некоторые
предприятия,
отвечающие
установленным
требованиям. Особенности лицензирования деятельности этих предприятий
определены
органов
ведомственными
государственной
нормативно-методическими
власти,
которым
документами
Правительством
РФ
предоставлено право оформления и выдачи соответствующих лицензий.
2. Алгоритм работы лицензирующего органа
Лицензии на проведение работ, связанных с использованием сведений,
составляющих
государственную
тайну,
выдаются
предприятиям
на
основании результатов специальных экспертиз и государственной аттестации
руководителей
предприятий,
ответственных
за
защиту
сведений,
221
составляющих государственную тайну, и при выполнении следующих
условий:
-
соблюдение требований законодательных и иных нормативных актов
Российской Федерации по обеспечению защиты сведений, составляющих
государственную тайну, в процессе выполнения работ, связанных с
использованием указанных сведений;
-
наличие
в
структуре
предприятия
подразделения
по
защите
государственной тайны и необходимого числа специально подготовленных
сотрудников для работы по защите информации, уровень квалификации
которых достаточен для обеспечения защиты государственной тайны;
-
наличие на предприятии средств защиты информации, имеющих
сертификат, удостоверяющий их соответствие требованиям по защите
сведений соответствующей степени секретности.
Лицензии оформляются на бланках, имеющих степень защиты,
соответствующую степени защиты ценной бумаги на предъявителя.
Лицензия
подписывается
руководителем
(заместителем
руководителя)
лицензирующего органа и заверяется печатью этого органа. Копия лицензии
хранится в лицензирующем органе. Срок действия лицензии не может быть
менее трех и более пяти лет, однако по просьбе заявителя лицензии могут
выдаваться на срок менее трех лет. Соискатель лицензии представляет в
лицензирующий орган заявление о выдаче лицензии с приложением копий
уставных и учредительных документов, а при необходимости и других
материалов, характеризующих деятельность предприятия.
Функции лицензирующего органа следующие:
-
организация лицензирования деятельности предприятий;
-
организация и проведение специальных экспертиз предприятий:
-
рассмотрение заявлений предприятий о выдаче лицензий:
-
принятие решений о выдаче или об отказе в выдаче лицензий;
-
выдача лицензий;
222
-
принятие решений о приостановлении действия лицензии или о ее
аннулировании;
-
разработка
нормативно-методических
документов
по
вопросам
лицензирования;
-
привлечение
в
случае
необходимости
представителей
органов
государственной власти Российской Федерации для проведения специальных
экспертиз;
-
ведение реестра выданных, приостановленных и аннулированных
лицензий.
Специальная экспертиза предприятия представляет собой проверку
выполнения требований нормативно-методических документов по режиму
секретности, противодействию иностранным техническим разведкам и
защите информации от утечки по техническим каналам, а также соблюдения
других условий, необходимых для получения лицензии.
Для проведения специальных экспертиз лицензирующие органы
создают аттестационные центры, которые получают лицензии на право их
проведения. Аттестационные центры могут создаваться в органах власти,
руководители которых наделены полномочиями по отнесению сведений к
государственной тайне, в том числе в субъектах РФ.
Специальные экспертизы проводятся на основе договора между
предприятием и органом, проводящим специальную экспертизу. Расходы по
проведению специальных экспертиз относятся на счет предприятия. Перечни
вопросов,
подлежащих
предприятия,
проверке
определяются
утверждаемыми
в
ходе
специальной
нормативно-методическими
лицензирующими
органами,
а
также
экспертизы
документами,
программами
специальных экспертиз предприятий, разрабатываемыми лицензирующими
органами и утверждаемыми их руководителями.
В ходе специальной экспертизы проводится оценка готовности
предприятия
к
выполнению
требований
законодательных
и
иных
нормативных актов РФ по обеспечению защиты сведений, составляющих
223
государственную тайну, в процессе выполнения работ, связанных с
использованием этих сведений.
Оценка готовности предусматривает проверку:
-
наличия нормативных актов и нормативно-методических документов
по режиму секретности, противодействию иностранным техническим
разведкам, защите информации от утечки по техническим каналам;
-
наличия
и
качества
разработки
предприятием
документов,
регламентирующих организацию и порядок проведения на предприятии
работ по защите сведений, составляющих государственную тайну;
-
наличия
в
структуре
предприятия
подразделения
по
защите
(кроме
органов
государственной тайны;
-
наличия
аттестованных
объектов
информатики
шифровальной службы).
Важными
вопросами,
подлежащими
проверке
при
проведении
специальной экспертизы, являются наличие необходимого числа специально
подготовленных сотрудников для работы по защите государственной тайны
и уровень их квалификации. В ходе проверки этих вопросов оценивается
готовность сотрудников предприятия выполнять следующие виды работ:
-
определение
охраняемых
сведений,
демаскирующих
признаков
предприятия и его производственной деятельности;
-
проведение анализа возможностей технической разведки в отношении
предприятия в целях получения сведений, составляющих государственную
тайну;
-
выявление каналов утечки сведений, составляющих государственную
тайну;
-
разработка
мероприятий
по
защите
сведений,
составляющих
государственную тайну, и оценка достаточности этих мероприятий;
-
аттестация
рабочих
мест
по
всему
производственному
циклу
разработки и испытания продукции, товаров и предоставления услуг,
224
связанных с использованием сведений, составляющих государственную
тайну;
-
контроль
эффективности
выполнения
мероприятий
по
защите
государственной тайны.
Результаты специальной экспертизы оформляются актом, который
направляется руководителю лицензирующего органа и учитывается при
принятии решения о выдаче лицензии.
Лицензирующие органы приостанавливают действие лицензии или
аннулируют ее в случае:
-
предоставления лицензиатом соответствующего заявления;
-
обнаружения недостоверных данных в документах, представленных
для получения лицензии;
-
нарушения лицензиатом условий действия лицензии;
-
невыполнения
лицензиатом
предписаний
или
распоряжений
государственных органов или приостановления этими государственными
органами деятельности предприятия в соответствии с законодательством РФ;
-
ликвидации предприятия.
Сроки рассмотрения заявлений, проведения специальной экспертизы,
порядок
и
сроки
приостановлении
и
принятия
решения
возобновлении
о
действия
выдаче,
аннулировании,
лицензии
определяются
Положением о лицензировании деятельности предприятий, учреждений и
организаций по проведению работ, связанных с использованием сведений,
составляющих
государственную
тайну,
созданием
средств
защиты
информации, а также с осуществлением мероприятий и (или) оказанием
услуг по защите государственной тайны.
Контроль за соблюдением лицензионных требований и условий
лицензиатами,
сведений,
выполняющими
составляющих
работы,
связанные
государственную
с
использованием
тайну,
осуществляют
лицензирующие органы.
225
Руководители и должностные лица лицензирующих органов в
соответствии с законодательством РФ несут ответственность за нарушение
или ненадлежащее исполнение положений нормативных актов в области
лицензирования деятельности предприятий, связанной с использованием
сведений, составляющих государственную тайну.
Предприятия и их должностные лица в соответствии с Кодексом
Российской Федерации об административных правонарушениях несут
ответственность
за
осуществление
деятельности,
связанной
с
использованием сведений, составляющих государственную тайну, без
лицензии, а также за нарушение условий, предусмотренных лицензией на
осуществление этого вида деятельности.
3. Организация проведения государственной аттестации руководителей
предприятий
Государственную аттестацию руководителей предприятий организуют
лицензирующие органы, а также органы государственной власти РФ,
руководители
которых
государственной
наделены
тайне
полномочиями
сведений,
по
отнесению
касающихся
к
деятельности
подведомственных им предприятий.
Государственную
аттестацию руководителей
предприятий
также
организуют Федеральная служба безопасности РФ и ее территориальные
органы (на территории РФ), Служба внешней разведки РФ (за рубежом),
Федеральная служба по техническому и экспортному контролю, а также
органы
государственной
власти,
руководители
которых
наделены
полномочиями по отнесению сведений к государственной тайне (в пределах
компетенции).
Методические
рекомендации
по
организации
и
проведению
государственной аттестации руководителей предприятий разрабатывает и
утверждает Межведомственная комиссия по защите государственной тайны.
Перечисленные
государственные
органы
могут
разрабатывать
положения о государственной аттестации руководителей предприятий,
226
ответственных за защиту сведений, составляющих государственную тайну,
учитывающие специфику деятельности этих предприятий.
Государственная аттестация руководителей предприятий проводится в
целях оценки уровня их знаний, необходимых для организации на
предприятии защиты сведений, составляющих государственную тайну.
Государственная
аттестация проводится
методом собеседования. Как
правило, ее осуществляет аттестационная комиссия, создаваемая для
проведения
специальной
экспертизы
предприятия.
Расходы
на
государственную аттестацию руководителей предприятий относятся на счет
предприятий.
Аттестуемое лицо обязано знать:
-
основные
требования
нормативно-методических
документов
по
режиму секретности, противодействию иностранным техническим разведкам
и защите информации от утечки по техническим каналам и условия
выполнения этих требований;
-
порядок организации защиты государственной тайны на предприятии.
От
государственной
аттестации
освобождаются
руководители
предприятий, имеющие свидетельства об окончании учебных заведений,
уполномоченных осуществлять подготовку специалистов по вопросам
защиты информации, составляющей государственную тайну. Перечень
указанных учебных заведений утверждает Межведомственная комиссия по
защите государственной тайны по представлению лицензирующих органов.
При
освобождении
аттестованного
в
ходе
от
занимаемой
лицензирования
должности
предприятия
(увольнении)
руководителя,
ответственного за защиту сведений, составляющих государственную тайну,
вновь
назначенный
руководитель
предприятия
должен
пройти
государственную аттестацию не позднее 3-месячного срока после его
назначения на эту должность.
Результаты государственной аттестации руководителя предприятия
включают в акт проведения специальной экспертизы или оформляют
227
отдельным актом, который представляют экспертной
комиссии при
проведении экспертизы предприятия. Они учитываются при принятии
решения о выдаче предприятию лицензии на проведение работ, связанных с
использованием сведений, составляющих государственную тайну.
Тема 12. Организация контроля за состоянием защиты
конфиденциальной информации на предприятии
1. Понятие и основные объекты контроля
Контроль
должностных
целенаправленная
—
лиц
предприятия
по
деятельность
проверке
руководства
состояния
и
защиты
конфиденциальной информации в ходе его повседневной деятельности при
выполнении предприятием всех видов работ. Контроль по своей сути имеет
характер ярко выраженной управленческой деятельности, так как, в первую
очередь,
служит
источником
важной
информации
для
руководства
предприятия (его филиала или представительства), касающейся основного
вида деятельности предприятия — защиты информации с ограниченным
доступом.
Контроль за состоянием защиты конфиденциальной информации на
предприятии организуется и проводится в целях определения истинного
состояния дел в области защиты информации, оценки эффективности
принимаемых
возможных
для
исключения
каналов
рекомендаций
утечки
руководству
утечки
информации
сведений,
выработки
предприятия
по
мер,
выявления
предложений
и
совершенствованию
комплексной системы защиты информации.
Указанный
контроль
осуществляется
в
порядке
и
в
сроки,
определенные соответствующими нормативно-методическими документами,
утверждаемыми как вышестоящими органами государственной власти
(министерством или ведомством), так и руководством предприятия.
Контроль за состоянием защиты конфиденциальной информации
организуется и проводится непосредственно на предприятии (в его
228
структурных подразделениях), а также в филиалах и представительствах
предприятия.
Организация
контроля
возлагается
на
руководителя
предприятия или сто заместителя, возглавляющего работу по защите
информации. Непосредственная организация и осуществление контроля за
состоянием защиты конфиденциальной информации возлагаются на службу
безопасности предприятия или его режимно-секретное подразделение.
В число основных объектов контроля за состоянием защиты
информации входят:
структурные подразделения предприятия, привлекаемые к выполнению
-
работ конфиденциального характера;
сотрудники предприятия, допущенные в установленном порядке к
-
конфиденциальной информации, и ее носителям, и выполняющие работы с
их использованием;
служебные помещения, в которых проводятся работы с носителями
-
конфиденциальной информации (документами, материалами, изделиями);
места непосредственного хранения носителей конфиденциальной
-
информации (хранилища, сейфы, шкафы), размещенные как в служебных
помещениях службы безопасности (режимно-секретного подразделения), так
и
в
служебных
кабинетах
сотрудников
предприятия
(филиала,
представительства);
-
непосредственно носители конфиденциальной информации
(документы, материалы, изделия, магнитные носители).
Основные формы контроля за состоянием защиты информации на
предприятии включают предварительный контроль, текущий контроль,
заключительный контроль, повторный контроль. Перечисленные формы
контроля увязаны по времени и срокам с подготовкой и проведением
различных мероприятий в рамках повседневной деятельности предприятия.
Этими мероприятиями могут быть:
-
планирование
производственной
(договорной)
деятельности
на
календарный год (иной период времени);
229
-
взаимодействие с партнерами в ходе совместных работ;
-
проведение
конкретных
научно-исследовательских
и
опытно-
конструкторских работ;
-
испытание вооружений и военной техники;
-
мероприятия в области международного сотрудничества, в том числе
связанные с приемом иностранных делегаций на предприятии;
-
организация и проведение совещаний, конференций, выставок и
симпозиумов;
-
подведение итогов работы предприятия за календарный год (иной
период работы предприятия);
-
посещение предприятия представителями СМИ.
Предварительный
контроль
проводится
на
этапе
подготовки
мероприятий и направлен на проверку соответствия спланированных
мероприятий по защите информации требованиям нормативно-методических
документов и специфике проведения конкретных работ.
Текущий
контроль
-
оценка
мер
по
защите
информации,
принимаемых в процессе выполнения предприятием (его структурными
подразделениями)
конкретных
видов
работ
в
рамках
повседневной
деятельности.
Заключительный контроль направлен на оценку состояния дел в
сфере защиты информации в ходе проведения мероприятия и по его
завершении и служит основой для формирования итоговых выводов об
эффективности
принимавшихся
мер
по
исключению
утечки
конфиденциальной информации.
Повторный контроль проводится в целях проверки полноты
устранения
выявленных
в ходе
иных
видов
контроля
недостатков
(нарушений) и реализации предложений и рекомендаций по исключению их
появления в дальнейшем.
2. Основные задачи и методы контроля
230
Основные
задачи
контроля
за
состоянием
защиты
информации
следующие:
-
сбор, обобщение и анализ информации о состоянии системы защиты
конфиденциальной информации предприятия;
-
анализ состояния дел в области защиты информации в структурных
подразделениях, а также в филиалах и представительствах предприятия;
-
проверка наличия носителей конфиденциальной информации;
-
проверка соблюдения всеми сотрудниками предприятия норм и правил,
устанавливающих порядок обращения с носителями конфиденциальной
информации;
-
выявление угроз защите конфиденциальной информации и выработка
мер по их нейтрализации;
-
анализ полноты и качества выполнения спланированных мероприятий
по защите информации в ходе повседневной деятельности предприятия;
-
оказание практической помощи должностным лицам в устранении
нарушений требований нормативно-методических документов;
-
применение мер административной и дисциплинарной ответственности
к лицам, нарушающим требования по порядку обращения с носителями
конфиденциальной информации;
-
проверка
эффективности
мер
по
защите
конфиденциальной
информации, принимаемых должностными лицами и руководителями
структурных подразделений предприятия.
Выбор методов контроля зависит от конкретных целей, задач и
объектов контроля, а также от совокупности сил и средств, которые
предполагается использовать при его проведении.
Основные методы контроля за состоянием защиты информации
включают проверку, анализ, наблюдение, сравнение и учет.
Основным и наиболее эффективным методом контроля за состоянием
защиты информации на предприятии, а также в его филиалах и
представительствах является проверка.
231
Проверки по объему проведения подразделяются на комплексные и
частные, а по характеру (способу проведения) — на плановые и внезапные.
Комплексные проверки организуются
и проводятся
по всем
направлениям защиты конфиденциальной информации. К их проведению
привлекаются структурные подразделения, отвечающие за вопросы защиты
информации на предприятии. Комплексные проверки охватывают все сферы
повседневной деятельности предприятия (его структурного подразделения,
филиала или представительства) и направлены на всестороннюю оценку
состояния дел в области защиты конфиденциальной информации.
Результаты проверки оформляются в виде акта или справки-доклада и
доводятся
до
подразделения
сведения
проверенного
представительства).
(филиала,
перечисляются
руководителя
выявленные
недостатки,
а
В
структурного
итоговом
также
документе
формулируются
предложения по их устранению, повышению эффективности работы
должностных
лиц
Проверяющие
(сотрудников)
лица
в
устанавливают
области
защиты
конкретные
информации.
сроки
устранения
выявленных недостатков и реализации предложений (рекомендаций).
Частные проверки организуются и проводятся по одному или
нескольким
направлениям
информации
в
целях
их
(вопросам)
глубокого
защиты
изучения,
конфиденциальной
анализа
и
оценки
эффективности работы должностных лиц (сотрудников) предприятия
(филиала, представительства) по этим направлениям. По результатам частной
проверки, как правило, готовится отдельный документ — справка.
Плановые проверки организуются заблаговременно, включаются в
соответствующие планы мероприятий предприятия на календарный год и
месяц. Как правило, такие проверки являются комплексными, и в состав
комиссий по их проведению включаются представители подразделений,
ответственных за деятельность по различным направлениям защиты
конфиденциальной
информации,
способные
оценить
состояние
и
эффективность работы по конкретным вопросам.
232
Внезапные проверки организуются и проводятся при необходимости
по указанию руководителя предприятия или его заместителя. Они могут
проводиться как в масштабах предприятия, так и в его структурных
подразделениях, филиалах или представительствах. Цель их проведения —
проверка защиты конфиденциальной информации по всем или нескольким
направлениям деятельности предприятия. Особенность организации таких
проверок состоит в том, что они отсутствуют в планах на календарный год и
проводятся
внезапно. Организация
работы
комиссии
и оформление
результатов внезапных проверок в основном такие же, как при плановых
проверках.
Особый вид проверок — контрольные проверки состояния защиты
конфиденциальной информации. В ходе их проведения проверяется и
оценивается полнота устранения недостатков, выявленных предыдущей
проверкой, и реализация выработанных по ее результатам предложений
(рекомендаций).
Алгоритм подготовки и проведения проверки:
1)
принятие решения о проведении проверки;
2)
подготовка перечня проверяемых вопросов;
3)
определение состава комиссии;
4)
определение сроков работы комиссии;
5)
подготовка и утверждение плана проверки;
6)
непосредственное проведение проверки;
7)
оформление результатов работы;
8)
выработка предложений и рекомендаций;
9)
доклад результатов проверки на месте;
10)
анализ недостатков с проверяемыми;
11) доклад результатов лицу, назначившему проверку.
Одним из методов контроля защиты конфиденциальной информации
также является анализ. В ходе анализа изучаются и обобщаются результаты
выполнения
конкретных
мероприятий
по
защите
конфиденциальной
233
информации. Осуществляется их сопоставление с положениями нормативнометодических документов по защите информации, соответствующими
стандартами предприятия, формулируется вывод о полноте, качестве и
эффективности их проведения. Наряду с проверкой и анализом могут
использоваться и такие методы контроля, как наблюдение, сравнение, учет.
Контроль методами наблюдения и сравнения проводится в случае
необходимости оперативной оценки мер зашиты информации, принимаемых
в
процессе
проведения
каких-либо
работ
(выполнения
конкретных
мероприятий), продолжающихся в течение определенного времени, и анализа
соответствия этих мер установленным нормам и стандартам, действующим
на предприятии. Основное отличие названных методов друг от друга
заключается в том, что в процессе наблюдения фиксируются конкретные
меры по защите информации, а в ходе сравнения, кроме того, осуществляется
сопоставление этих мер с установленными нормами и утвержденными
стандартами по защите конфиденциальной информации, действующими на
предприятии.
Учет принимаемых мер по защите информации подразумевает
фиксацию
и
анализ
реально
принятых
должностными
лицами
и
сотрудниками предприятия мер, направленных на предотвращение утечки
информации в ходе повседневной деятельности предприятия. На основе
материалов учета готовятся предложения руководству предприятия об
усилении режимных требований в рамках той или иной деятельности
предприятия, повышении эффективности работы конкретных должностных
лиц.
3. Использование результатов контроля
При осуществлении контроля за состоянием защиты информации
особое
внимание
конфиденциальной
уделяется
информации
вопросам
и
их
обращения
хранения
с
в
носителями
структурных
подразделениях предприятия, в том числе расположенных на территориально
обособленных объектах, находящихся на удалении. Проверяются порядок
234
учета, хранения, размножения (копирования) и уничтожения носителей
конфиденциальной информации; оборудование помещений, в которых
хранятся указанные носители или осуществляется работа с ними; порядок
передачи носителей одними исполнителями другим, в том числе и при
убытии лиц в командировку (отпуск, на лечение); и т.д.
Постоянному контролю подлежат также вопросы допуска и доступа
всех категорий должностных лиц к конфиденциальной информации, в том
числе и непосредственно к носителям информации, вопросы организации и
осуществления пропускного и внутриобъектового режимов на предприятии,
организации охраны предприятия и его объектов.
С
учетом
осуществляемых
условий
видов
и
специфики
деятельности
деятельности
повышенное
предприятия,
внимание
должно
уделяться вопросам защиты информации при планировании и проведении
предприятием
договорных
работ,
а
также
при
осуществлении
международного сотрудничества.
В повседневной деятельности предприятия и его структурных
подразделений
особое
место
занимает
периодический
контроль
должностными лицами (соответствующими структурными подразделениями)
наличия носителей конфиденциальной информации. Порядок и сроки его
осуществления
определяются
нормативными
методическими
документами,
регулирующими
правовыми
порядок
актами
обращения
и
с
информацией различных видов конфиденциальности.
Результаты контроля за состоянием защиты конфиденциальной
информации доводятся до сведения должностных лиц и сотрудников
предприятия, изучаются в ходе проведения соответствующих занятий,
недостатки и нарушения оперативно устраняются. Результаты контроля
служат основой для проведения аналитической работы и подготовки
предложений
конкретных
руководству
мероприятий
предприятия,
по
направленных
совершенствованию
на
выработку
системы
защиты
конфиденциальной информации и повышению эффективности работы в
235
области
организации
и
обеспечения
режима
секретности
(конфиденциальности).
В
службе
безопасности
предприятия
(режимно-секретном
подразделении) организуется и ведется учет результатов контроля всех видов
проводимых проверок. Обобщенные материалы контроля периодически
доводятся до сведения руководящего состава предприятия, анализируются и
изучаются руководителями структурных подразделений предприятия в целях
недопущения снижения эффективности проводимых мероприятий по защите
конфиденциальной информации на предприятии в целом и в этих
структурных подразделениях в частности.
Результаты контроля за состоянием защиты конфиденциальной
информации на предприятии являются одним из основных источников
информации для изучения, обобщения и анализа. Оценка эффективности
контроля проводится на основе анализа степени защищенности сведений,
содержащих конфиденциальную информацию (их защиты от утечки), и
сохранности носителей конфиденциальной информации (предотвращения
случаев утрат носителей и устранения предпосылок к ним). С этой целью
проводится учет, обобщение и анализ зарегистрированных на предприятии
попыток посторонних лиц (злоумышленников) завладеть конфиденциальной
информацией или ее носителями, а также статистическая обработка
результатов деятельности предприятия и его отдельных подразделений,
направленной на предотвращение (пресечение) этих попыток.
По
результатам
оценки
эффективности
контроля
руководство
предприятия на основе предложений службы безопасности (режимносекретного подразделения) определяет пути и способы совершенствования
системы контроля защиты конфиденциальной информации, уточняет задачи
и функции структурных подразделений предприятия.
236
Тема 13. Организация служебного расследования по фактам
разглашения конфиденциальной информации или утраты
носителей информации
1. Ответственность за разглашение конфиденциальной информации и утрату
носителей информации
Разглашение конфиденциальной информации — предание огласке этой
информации работником, допущенным к ней в связи с выполнением
функциональных (должностных) обязанностей.
Под утратой носителей конфиденциальной информации (документов,
материалов, изделий) понимается выход (в том числе на непродолжительное
время) этих носителей из владения работника, который в установленном
порядке допущен к ним в связи с выполнением функциональных
(должностных) обязанностей, в результате чего данные носители стали либо
могли стать достоянием посторонних лиц.
За разглашение конфиденциальной информации, утрату носителей
конфиденциальной информации и нанесение вследствие этих действий
ущерба предприятию (работодателю) виновные лица привлекаются к
дисциплинарной,
материальной,
административной
или
уголовной
ответственности.
Дисциплинарная
ответственность
работников
предприятий
предусмотрена ст. 57, 81, 192 и 193 Трудового кодекса РФ. В соответствии со
ст. 57 в заключаемом работодателем и работником трудовом договоре могут
предусматриваться условия о неразглашении охраняемой законом тайны
(государственной, служебной, коммерческой и иной).
В отношении работника, совершившего дисциплинарный проступок,
связанный с неисполнением или ненадлежащим исполнением трудовых
обязанностей,
работодателем
могут
быть
применены
следующие
дисциплинарные взыскания, определенные ст. 192 Трудового кодекса РФ:
замечание, выговор, увольнение по соответствующим основаниям. Порядок
применения дисциплинарных взысканий определен в ст. 193 кодекса.
237
Увольнение работника осуществляется в соответствии с положениями
ст. 81 Трудового кодекса РФ «Расторжение трудового договора по
инициативе работодателя». В соответствии с подп. 6в указанной статьи
трудовой договор с работником может быть расторгнут в случае
однократного грубого нарушения работником трудовых обязанностей —
разглашения охраняемой законом тайны (государственной, коммерческой,
служебной и иной), ставшей известной работнику в связи с исполнением им
трудовых обязанностей.
Материальная ответственность работника наступает в случае нанесения
ущерба
предприятию
в
результате
разглашения
конфиденциальной
информации, ставшей известной работнику в связи с исполнением им
должностных (функциональных) обязанностей. В соответствии со ст. 232,
238, 242 Трудового кодекса РФ работник обязан возместить ущерб,
нанесенный предприятию (работодателю). Согласно п. 7 ст. 243 кодекса,
разглашение
сведений,
составляющих
охраняемую
законом
тайну
(коммерческую, служебную или иную), влечет за собой материальную
ответственность работника в полном размере причиненного ущерба.
Административная ответственность за разглашение конфиденциальной
информации,
доступ
к
которой
ограничен
в
соответствии
с
законодательством РФ, определена ст. 13.14 Кодекса Российской Федерации
об административных правонарушениях.
В соответствии с положениями указанной статьи разглашение
информации, доступ к которой ограничен федеральным законом (за
исключением случаев, когда разглашение такой информации влечет
уголовную
ответственность),
лицом,
получившим
доступ
к
такой
информации в связи с исполнением служебных или профессиональных
обязанностей, влечет наложение административного штрафа:
-
на граждан — в размере от пяти до десяти минимальных размеров
оплаты труда;
238
-
на должностных лиц - от сорока до пятидесяти минимальных размеров
оплаты труда.
Уголовная
ответственность
за
преступления
в
сфере
защиты
государственной таймы предусмотрена ст. 275, 283, 284 гл. 29 Уголовного
кодекса РФ. Согласно ст. 275 УК РФ, выдача гражданином РФ
государственной
тайны
иностранному
государству,
иностранной
организации или их представителям наказывается лишением свободы на срок
от двенадцати до двадцати лет со штрафом в размере до пятисот тысяч
рублей или в размере заработанной платы или иного дохода осужденного за
период до трех лет либо без такового.
Разглашение сведений, составляющих государственную тайну, лицом,
которому она была доверена или стала известна по службе или работе, без
признаков государственной измены в соответствии со ст. 28
3 УК РФ наказывается арестом на срок от четырех до шести месяцев
либо лишением свободы на срок до четырех лет (в случае тяжких
последствий — до семи лет) с лишением права занимать определенные
должности или заниматься определенной деятельностью на срок до трех лет
или без такового.
Согласно ст. 284 УК РФ, нарушение лицом, имеющим допуск к
государственной тайне, установленных правил обращения с содержащими
государственную тайну документами или с предметами, сведения о которых
составляют государственную тайну, повлекшее их утрату и наступление
тяжких последствий, наказывается ограничением свободы на срок до трех
лет либо арестом на срок от четырех до шести месяцев, либо лишением
свободы на срок до трех лет с лишением права занимать определенные
должности или заниматься определенной деятельностью на срок до трех лет
или без такового.
2. Организация и проведение служебного расследования по фактам
нарушений
239
В случае разглашения конфиденциальной информации, или утраты
носителей, содержащих такую информацию, руководитель предприятия
обязан незамедлительно проинформировать о произошедшем руководителя и
режимно-секретное подразделение вышестоящей организации (если она
имеется),
а
также
орган
безопасности,
организовать
служебное
расследование и розыск носителей конфиденциальной информации, принять
меры по локализации возможного ущерба.
Мероприятия по розыску утраченных носителей конфиденциальной
информации, выявлению обстоятельств разглашения конфиденциальной
информации и виновных лиц проводятся во взаимодействии с органами
безопасности.
Служебное расследование по фактам незаконного получения и
разглашения
сведений,
служебную
тайну,
делопроизводства,
составляющих
нарушений
установленного
банковскую,
порядка
в
компании.
коммерческую
и
конфиденциального
В
соответствии
с
рекомендациями, изложенными в настоящей Инструкции "о порядке
проведения служебного расследования по фактам незаконного получения и
разглашения
сведений,
служебную
тайну,
составляющих
нарушения
банковскую,
порядка
коммерческую
и
конфиденциального
делопроизводства", может проводиться также разбирательство по иным
нарушениям
порядка,
установленного
нормативно-распорядительными
документами компании, является разновидностью внутриорганизационной
деятельности.
Оно
проводится
с
целью
выяснения
обстоятельств
происшедшего, установления вины конкретных лиц, размера причиненного
ущерба, выявления причин и условий, способствовавших изучаемому
событию и применения превентивных профилактических мер в дальнейшем.
Служебное расследование представляет собой процесс гласного сбора
и документирования информации, относящейся к событию и получаемой
путем опроса сотрудников Компании и других лиц (с их согласия),
располагающих ею, ознакомления с документами, осмотра служебных
240
помещений,
предметов,
участков
местности,
а
также
оценки
этой
информации, подготовки выводов и предложений.
Для проведения служебного расследования руководитель предприятия
не позднее следующего дня после обнаружения факта разглашения
конфиденциальной информации или утраты носителей, содержащих такую
информацию, назначает комиссию из компетентных и не заинтересованных в
исходе дела сотрудников предприятия. В состав комиссии входят не менее
трех человек (включая работника режимно-секретного подразделения),
имеющих непосредственное отношение к данным сведениям и допуск к
государственной тайне по соответствующей форме (соответствующий
допуск к конфиденциальной информации). При необходимости указанные
работники освобождаются от исполнения своих служебных обязанностей на
время проведения служебного расследования.
Основанием
для
проведения
служебного
расследования
(разбирательства) являются ставшие известными руководителю компании
сведения о фактах причинения ущерба компании либо нарушениях
внутренних правил компании, могущих повлечь причинение ущерба. Такие
сведения
могут
подразделений,
содержаться
сообщениях
в
служебных
записках
правоохранительных
руководителей
органов,
иных
государственных, а также негосударственных структур и частных лиц.
Разбирательство назначается руководителем, наделенным правом
издания приказов, после получения сведений о событии путем дачи
письменного указания либо издания приказа о назначении группы
сотрудников (комиссии во главе с Председателем) для выполнения этой
работы.
Председателем
разбирательства,
комиссии
распределяются
разрабатывается
план
проведения
направления
работы,
изучаются
законодательные и другие нормативные акты по вопросам, подлежащим
выяснению.
241
Руководитель,
назначивший
разбирательство,
дает
указание
о
направлении и объеме изучения события.
Сотрудники, на которых возложено проведение разбирательства, могут
освобождаться от исполнения функциональных постоянных обязанностей на
период разбирательства.
Сотрудники не могут участвовать в проведении разбирательства, если
они прямо или косвенно заинтересованы в его результатах.
В
работе
комиссии
могут
принимать
участие
представители
вышестоящей организации (если она имеется).
Комиссия по проведению служебного расследования обязана:
-
установить
обстоятельства
разглашения
конфиденциальной
информации или утраты содержащих ее носителей (время, место, способ и
др.);
-
вести розыск утраченных носителей информации;
-
установить
лиц,
виновных
в
разглашении
конфиденциальной
информации или утрате ее носителей;
-
установить
конфиденциальной
причины
и
условия,
информации,
способствующие
утрате
носителей
разглашению
информации,
и
выработать рекомендации по их устранению.
Члены комиссии по проведению служебного расследования имеют
право:
-
проводить осмотр помещений, участков местности, хранилищ, столов,
шкафов, папок, портфелей и других предметов, где могут находиться
утраченные носители конфиденциальной информации;
-
проверять полистно все носители конфиденциальной информации,
находящиеся на предприятии, и учетные документы, отражающие их
поступление и движение (книги и журналы учета);
-
опрашивать
работников
предприятия, допустивших
разглашение
конфиденциальной информации или утрату носителей этой информации, а
также других работников, могущих оказать содействие в установлении
242
обстоятельств разглашения информации (утраты носителей информации), и
получать от них письменные объяснения;
-
привлекать с разрешения руководства предприятия других работников
предприятия, не заинтересованных в исходе дела, для проведения отдельных
действий в рамках служебного расследования.
Проведение разбирательства
В ходе разбирательства устанавливается:
1.
Действительно ли имело место событие.
2.
Обстоятельства (где, когда), при которых оно произошло.
3.
Наличие отрицательных последствий события, характер и размер
ущерба.
4.
Причинная связь между проступком (действиями, бездействием)
конкретного лица (лиц) и результатом события.
5.
Причины и условия, способствовавшие событию (совершению
проступка).
6.
Наличие
обстоятельств
смягчающих
или
отягчающих
ответственность виновного лица.
Служебное расследование должно проводиться в предельно короткий
срок
(не
более
месяца
со
дня
обнаружения
факта
разглашения
конфиденциальной информации или утраты ее носителей). В случае
необходимости срок разбирательства может быть продлен руководителем,
назначившим
разбирательство,
по
мотивированному
обращению
председателя комиссии.
Сотрудники,
которым
поручено
проведение
разбирательства,
подотчетны руководителю, назначившему разбирательство и Председателю
комиссии.
Сотрудники, которым поручено проведение разбирательства обязаны:
1.
Соблюдать предусмотренные законом права и интересы лиц -
участников разбирательства.
243
2.
Делать выводы по результатам работы комиссии только на
основании фактических данных, полученных в результате разбирательства и
закрепленных документально.
3.
Своевременно
докладывать
руководителю,
назначившему
разбирательство, о выявленных нарушениях закона, причинах и условиях,
способствовавших совершению проступка (правонарушения).
4.
В случае установления в ходе разбирательства признаков
преступления немедленно доложить об этом руководителю и по его
указанию направить материалы в установленном порядке в следственные
(правоохранительные) органы.
5.
Сотрудники, которым поручено разбирательство имеют право:
Приглашать для беседы сотрудников, а также других граждан (с их
согласия).
Получать от них письменные объяснения, по фактам, имеющим
отношение к предмету разбирательства.
Отказ от дачи пояснений оформляется отдельной справкой с указанием
мотивов отказа.
С
разрешения
руководителя,
назначившего
разбирательство,
знакомиться с документами организации, имеющими отношение к предмету
разбирательства.
В случае необходимости приобщать указанные документы либо их
копии к материалам разбирательства.
Получать в установленном порядке консультации у специалистов
Компании и других структур государственной и негосударственной форм
собственности по вопросам, требующим специальных познаний.
Осматривать предметы, документы, изделия, участки местности,
имеющие отношение к событию.
Применять для фиксации полученной информации средства аудио-,
видеозаписи по правилам уголовно-процессуального законодательства.
244
6. Приобщать к заключению о результатах разбирательства свое особое
мнение в случае несогласия с процессом разбирательства или выводами по
результатам работы.
Если утраченные носители информации не обнаружены, исчерпаны все
возможные меры розыска, внесена ясность в обстоятельства произошедшего
и установлены виновные, розыск может быть прекращен. Мотивированное
заключение
о
предприятия,
прекращении
назначившим
расследования,
после
чего
розыска
комиссию
оно
утверждается
по
руководителем
проведению
рассматривается
и
служебного
утверждается
руководителем вышестоящей организации (если она имеется).
По
окончании
служебного
расследования
представить руководителю предприятия
комиссия
обязана
на рассмотрение следующие
документы:
-
заключение о результатах проведенного служебного расследования;
-
письменные объяснения лиц, которых опрашивали члены комиссии;
-
акты проверок наличия носителей конфиденциальной информации на
предприятии, осмотра и проверки служебных помещений, хранилищ и т.п.;
-
другие документы, имеющие отношение к служебному расследованию.
Завершение разбирательства
1.
По результатам разбирательства проводившие его сотрудники
составляют
мотивированное
заключение,
которое
представляется
руководителю,
назначившему разбирательство. В заключении должно быть указано:
Должности и фамилии сотрудников, проводивших разбирательство и
основание для его назначения.
Установочные данные лица, в отношении которого проводилось
разбирательство.
Аргументированные ответы на вопросы, перечисленные в п. 3.1.
Инструкции "о порядке проведения служебного расследования по фактам
незаконного получения и разглашения сведений, составляющих банковскую,
245
коммерческую и служебную тайну, нарушения порядка конфиденциального
делопроизводства".
Предложения (в зависимости от результатов разбирательства) о
применении
к
виновному
конкретного
дисциплинарного
взыскания,
привлечения его к материальной ответственности, мерах, направленных на
устранение причин и условий, способствовавших совершению проступка, о
прекращении разбирательства или направлении материалов разбирательства
в правоохранительные органы для решения вопроса о возбуждении
уголовного дела.
2.
Мотивированное
проводившими
заключение,
разбирательство,
не
подписанное
требует
сотрудниками,
согласования
с
непосредственными руководителями этих сотрудников.
3.
Руководитель, назначивший разбирательство, изучает собранные
материалы и заключение, оценивает их полноту и объективность, утверждает
заключение либо возвращает с конкретными указаниями о собирании
дополнительных сведений. Разбирательство считается законченным в день
утверждения заключения.
Если в ходе разбирательства будут установлены признаки состава
преступления,
руководитель
организации
направляет
материалы
в
установленном порядке в правоохранительные органы.
4.
Руководитель, утвердивший заключение, определяет форму, в
которой сотрудники, в отношении которых проводилось разбирательство,
знакомятся с его материалами.
5.
Материалы
служебного
разбирательства
приобщаются
к
отдельным делам, ведущимся службой безопасности.
Одновременно с комиссией по проведению служебного расследования
руководителем
предприятия
создается
комиссия
по
определению
(уточнению) степени секретности (конфиденциальности) разглашенной
информации (утраченных носителей информации). В состав комиссии входят
не менее трех человек, не заинтересованных в исходе дела, имеющих
246
непосредственное отношение к разглашенной информации (утраченным
носителям
информации)
и
допуск
к
государственной
тайне
по
соответствующей форме (допуск к конфиденциальной информации). В
случае необходимости руководитель предприятия для участия в работе
комиссии может привлекать работников из других организаций (по
согласованию с их руководителями), имеющих отношение к разглашенной
информации (утраченным носителям).
Результаты работы комиссии по определению (уточнению) степени
секретности (конфиденциальности) разглашенной информации (утраченных
носителей информации) отражаются в мотивированном заключении, которое
в предельно короткий срок, но не позднее десяти дней со дня создания
комиссии должно быть представлено на утверждение руководителю
предприятия. По результатам работы комиссии руководитель предприятия
принимает
меры
по
локализации
последствий
разглашения
конфиденциальной информации (утраты носителей информации). Он также
направляет заключение комиссии с приложением в случае необходимости
копий материалов служебного расследования руководителю вышестоящей
организации (если она имеется) и в орган безопасности. Один экземпляр
заключения и материалы служебного расследования хранятся в режимносекретном подразделении (службе безопасности) предприятия.
Если комиссия по определению (уточнению) степени секретности
разглашенной информации (грифа секретности утраченных носителей
информации) установит, что степень секретности этой информации (гриф
секретности носителей информации) не соответствует их содержанию, то
заключение
комиссии
утверждается
руководителем
вышестоящей
организации (если она имеется) или руководителем органа государственной
власти, наделенного полномочиями по распоряжению такими сведениями. В
случае
выявления
такого
несоответствия
руководитель
предприятия
принимает решение об исключении этой информации из соответствующего
перечня
конфиденциальной
информации
предприятия
и
снятии
в
247
установленном
порядке
грифа
конфиденциальности
и
реквизитов
с
носителей информации.
При
необходимости
по
решению
руководителя
вышестоящей
организации, а в случае отсутствия такой организации — по решению
руководителя органа государственной власти, наделенного полномочиями по
распоряжению сведениями, составляющими государственную тайну, может
быть проведено дополнительное служебное расследование или создана новая
комиссия.
Степень
секретности
(конфиденциальности)
разглашенной
информации, утраченных носителей информации, поступивших из другой
организации, определяется (уточняется) комиссией этой организации либо
комиссией вышестоящей организации (если она имеется) и утверждается
руководителем соответствующей организации.
Списание
с
учета
утраченных
носителей
конфиденциальной
информации осуществляется на основании утвержденного руководителем
предприятия акта с результатами служебного расследования.
Учет разглашенной конфиденциальной информации (утрат носителей
информации) на предприятии ведется режимно-секретным подразделением
(службой безопасности) в журнале учета утрат секретных документов и
фактов разглашения конфиденциальной информации.
Тема 14. Планирование мероприятий по организационной защите
информации на предприятии
1. Основные цели планирования
Одно из наиболее важных направлений деятельности предприятия,
осуществляющего работу со сведениями конфиденциального характера, —
планирование мероприятий по защите конфиденциальной информации.
Планирование указанных мероприятий занимает особое место в системе
управления деятельностью как предприятия в целом, так и его структурных
подразделений (отдельных должностных лиц). Трудно также переоценить
248
значение этого направления в общей системе организационных мер
обеспечения информационной безопасности предприятия.
Основными целями планирования мероприятий по защите информации
являются:
-
организация
проведения
комплекса
мероприятий
по
защите
конфиденциальной информации, направленных на исключение возможных
каналов утечки этой информации;
-
установление персональной ответственности всех должностных лиц
предприятия
за
решение
вопросов
защиты
информации
в
ходе
производственной и иной деятельности предприятия;
-
определение сроков (времени, периода) проведения конкретных
мероприятий по защите информации;
-
систематизация (объединение) всех проводимых на плановой основе
мероприятий по различным направлениям защиты конфиденциальной
информации;
-
установление системы контроля за обеспечением защиты информации
на предприятии, а также системы отчетности о выполнении конкретных
мероприятий;
-
уточнение (конкретизация) функций и задач, решаемых отдельными
должностными лицами и структурными подразделениями предприятия.
Основой для планирования мероприятий по защите информации на
предприятии служат:
актов
требования законодательных и иных нормативных правовых
по
защите
конфиденциальной
информации,
соответствующих
нормативно-методических документов федерального органа исполнительной
власти (при наличии ведомственной
принадлежности), вышестоящей
организации, а при планировании мероприятий по защите информации
филиалом или представительством предприятия — указания головного
предприятия;
249
-
требования
заказчиков
проводимых
предприятием
в
рамках
соответствующих договоров (контрактов) совместных и других работ;
-
положения
международных
договоров
(соглашений)
и
иных
документов, определяющих участие предприятия в тех или иных формах
международного сотрудничества;
-
положения внутренних организационно-распорядительных документов
предприятия (приказов, директив, положений, инструкций), определяющих
порядок
ведения
производственной
и
иной
деятельности,
а
также
конкретизирующих вопросы защиты конфиденциальной информации на
предприятии;
-
результаты комплексного анализа состояния дел в области защиты
информации, проводимого службой безопасности (режимно-секретным
подразделением)
на
основании
материалов
проверок
структурных
подразделений (филиалов, представительств) предприятия;
-
результаты проверок состояния защиты информации, проведенных
вышестоящими организации, федеральными органами исполнительной
власти (при наличии ведомственной принадлежности) и заказчиками работ (в
рамках
выполняемых
договоров
или
контрактов), выработанные
на
основании этих результатов предложения и рекомендации;
- результаты контроля за состоянием защиты информации, проводимого
органами безопасности и иными контролирующими органами (в части, их
касающейся);
-
особенности повседневной деятельности предприятия и специфика
выполнения на предприятии работ с использованием различных видов
конфиденциальной информации.
Планирование мероприятий по защите конфиденциальной информации
проводится одновременно с планированием основной производственной и
иной деятельности предприятия. Планирование может осуществляться на
календарный
год,
календарный
месяц,
неделю,
а
также
на
иной
определенный срок, обусловленный проведением важных мероприятий
250
(работ) по видам деятельности предприятия, если они связаны с вопросами
конфиденциального характера. Планы мероприятий, разрабатываемые на
срок
более
одного
календарного
года,
относятся, как
правило,
к
стратегическому планированию, остальные планы решают тактические
задачи.
В целях эффективного решения задач по защите конфиденциальной
информации в рамках наиболее важных и масштабных работ, а также в ходе
реализации на предприятии
федеральных
целевых, государственных,
ведомственных и других программ могут разрабатываться отдельные планы,
носящие характер программно-целевого планирования. Такими программами
могут быть реконструкция предприятия, внедрение новых технологий, в том
числе информационных, и т.п.
Планы мероприятий по защите информации относятся к документам с
ограниченным доступом, учитываются и хранятся в службе безопасности
(режимно-секретном подразделении) предприятия в порядке, установленном
для
документов
соответствующей
степени
конфиденциальности
(секретности).
Разработка планирующих документов по защите информации на
предприятии осуществляется службой безопасности (режимно-секретным
подразделением) в тесном взаимодействии с подразделениями (отдельными
должностными
лицами),
в
ведении
которых
находятся
задачи,
непосредственно касающиеся вопросов защиты информации (подразделение
противодействия иностранным техническим разведкам, служба охраны,
кадровый орган и др.). Кроме того, при подготовке планов учитываются
предложения структурных подразделений предприятия, занимающихся
производственной
(финансово-хозяйственной)
деятельностью
или
ее
обеспечением.
От полноты и качества разработки организационно-планирующих
документов в полной мере зависит эффективность проведения мероприятий,
251
направленных на исключение утечки конфиденциальной информации, утрат
ее носителей, а также возникновения предпосылок подобных происшествий.
2. Структура и основное содержание плана мероприятий по защите
конфиденциальной информации
Основным организационно-планирующим документом предприятия
является План мероприятий по защите конфиденциальной информации на
календарный год. Данный план наиболее полно и всесторонне отражает
мероприятия по защите информации, предполагаемые к проведению в ходе
повседневной деятельности предприятия в течение календарного года. При
подготовке
плана
учитываются
вновь
принятые
(подписанные,
утвержденные) нормативные правовые акты и методические документы по
защите конфиденциальной информации, действующие приказы и текущие
указания вышестоящих органов государственной власти и организаций (при
наличии ведомственной принадлежности или иной подчиненности).
План мероприятий по защите конфиденциальной информации на
предприятии на календарный год утверждается руководителем предприятия
до начала календарного года, на который он разработан. При необходимости
план
согласовывается
с
соответствующим
органом
безопасности.
Утвержденный план под расписку доводится до сведения заместителей
руководителя предприятия, руководителей структурных подразделений и
отдельных должностных лиц, ответственных за проведение указанных в
плане мероприятий.
Типовой
план
мероприятий
по
защите
конфиденциальной
информации на календарный год содержит следующие основные разделы:
1.
Организаторская работа руководства предприятия — разработка
организационно-планирующих
документов
в
ходе
повседневной
деятельности предприятия и при выполнении предприятием всех видов
работ; представляемые в вышестоящий орган государственной власти или в
вышестоящую организацию доклады и донесения о состоянии защиты
252
информации; подготовка и издание приказов руководителя предприятия по
различным вопросам в сфере защиты конфиденциальной информации;
переработка и уточнение должностных обязанностей сотрудников и др.
Подготовка персонала по вопросам защиты информации —
2.
организация и проведение занятий со всеми категориями сотрудников
предприятия с учетом специфики выполняемой ими работы; изучение
положений
нормативно-методических
документов
в
области
защиты
информации и, при необходимости, доведение их требований до сведения
сотрудников под расписку; принятие зачетов и проведение занятий с вновь
прибывшими или назначенными на должность сотрудниками; мероприятия
по обучению сотрудников предприятия в образовательных учреждениях
высшего, среднего и дополнительного профессионального образования.
3.
Контроль
защиты
информации
и
наличия
носителей
конфиденциальной информации — организация и проведение всех видов
проверок
состояния
защиты
информации
и
наличия
носителей
конфиденциальной информации. Особое внимание уделяется планированию
проводимых по окончании календарного года мероприятий по проверке
наличия носителей информации комиссией предприятия. Для предприятий,
работающих со сведениями, составляющими государственную тайну,
проведение проверок наличия носителей этих сведений планируется в
соответствии со сроками, определенными в нормативных правовых актах по
обеспечению режима секретности. При наличии у предприятия подчиненных
организаций, филиалов и представительств планируются проверки состояния
защиты
информации
в
этих
организациях
комиссиями
головного
предприятия.
4.
Допуск и доступ персонала к конфиденциальной информации и
ее носителям — мероприятия, касающиеся разработки, переработки и
согласования
подлежащих
номенклатуры
оформлению
на
должностей
допуск
к
работников
сведениям,
предприятия,
составляющим
государственную тайну; вопросы оформления и переоформления материалов
253
на допуск к государственной тайне сотрудников предприятия, в том числе
контрактов, трудовых договоров и карточек о допуске; разработка и
переработка списков лиц, допускаемых к конфиденциальной информации, а
также лиц, допускаемых к конкретным материалам проводимых работ;
мероприятия, направленные
на разграничение
доступа
к носителям
конфиденциальной информации в зависимости от степени их секретности
или конфиденциальности, а также в зависимости от тематики проводимых
предприятием работ. При необходимости отдельным пунктом отражаются
вопросы организации учета осведомленности лиц в сведениях особой
важности и совершенно секретных сведениях, подготовки соответствующих
заключений.
5. Организация и ведение конфиденциального делопроизводства —
мероприятия,
непосредственно
касающиеся
деятельности
службы
безопасности или режимно-секретного подразделения предприятия, а также
специально
создаваемых
на
предприятии
комиссий
по
отбору
конфиденциальных документов и материалов для уничтожения, пересмотру
степени секретности или конфиденциальности материалов, инструктажу лиц,
убывающих с носителями конфиденциальной информации за пределы
предприятия; вопросы учета, хранения, размножения и уничтожения
носителей конфиденциальной
информации, порядок
работы с ними
персонала предприятия.
6.
Защита
информации
при
осуществлении
рекламной
и
публикаторской деятельности — мероприятия, связанные с работой
экспертной комиссии по принятию решений о возможности публикации
научных
материалов,
использования
этих
информации
материалов
при
о
деятельности
проведении
предприятия,
рекламных
акций;
мероприятия, осуществляемые при подготовке материалов к открытому
опубликованию.
7.
Защита информации при использовании технических средств —
организационные мероприятия по подготовке и вводу в эксплуатацию
254
объектов информатизации, обрабатывающих информацию с ограниченным
доступом, по технической защите информации, защите информации от
несанкционированного доступа и от утечки по техническим каналам; работа
должностных лиц по противодействию иностранным техническим разведкам,
предотвращению утечки информации при использовании средств открытой
связи — например факсимильной, телеграфной, голосовой, телефонной.
8. Защита информации в ходе осуществления международного
сотрудничества — мероприятия по защите информации при подготовке и
реализации
международных
договоров
и
иных
документов,
приеме
иностранных делегаций на предприятии. Мероприятия предусматриваются с
учетом распределения функций по защите информации между структурными
подразделениями предприятия (отделами, службами) и должностными
лицами.
9.
Выезд
за
границу
сотрудников,
допущенных
к
конфиденциальной информации, — для предприятий, работающих со
сведениями,
составляющими
государственную
тайну,
планирование
мероприятий в данном разделе осуществляется в строгом соответствии с
Федеральным законом «О порядке выезда из Российской Федерации и въезда
в Российскую Федерацию», Законом РФ «О государственной тайне» и иными
нормативными правовыми актами РФ. Планируемые мероприятия не должны
быть
направлены
на
ограничение
права
сотрудников
предприятия,
допущенных к конфиденциальной информации (за исключением сведений
особой важности и совершенно секретных сведений), на выезд из Российской
Федерации.
10.
Защита информации при выполнении совместных и других работ
— мероприятия, направленные на исключение утечки конфиденциальной
информации при участии предприятия в выполнении совместных и других
работ, предусмотренных уставом предприятия; порядок и условия отражения
в договорах, заключаемых с заказчиками или исполнителями работ, вопросов
защиты информации, содержание соответствующих пунктов указанных
255
договоров; мероприятия
по защите государственной
тайны в ходе
деятельности конкурсных комиссий по выбору исполнителей работ; при
участии предприятия в выполнении работ в рамках государственного
оборонного заказа — особенности проведения этих работ. Для совместных
работ, в которых предприятие выступает в роли заказчика или головного
исполнителя, предусматриваются
мероприятия по контролю эффективности защиты исполнителями этих работ
конфиденциальной информации, передаваемой им предприятием в качестве
исходных данных. При выполнении предприятием работ с использованием
сведений, составляющих государственную тайну, в данном разделе плана
предусматриваются мероприятия, определенные ст. 17 Закона РФ «О
государственной тайне» (включение в договоры на проведение работ
положений, содержащих меры ответственности заказчиков, головных
исполнителей и исполнителей работ за несоблюдение установленных
требований и т.д.).
11.
Защита информации в чрезвычайных ситуациях — порядок
формирования, задачи и основные направления деятельности нештатного
подразделения
предприятия
—
специальной
комиссии,
создаваемой
приказом руководителя предприятия в целях
выработки мер по предупреждению чрезвычайных ситуаций на предприятии,
а также мер по защите информации при возникновении чрезвычайных
ситуаций; практические меры, направленные на недопущение нанесения
ущерба
информационной
безопасности
предприятия
вследствие
возникновения чрезвычайных ситуаций, в том числе на предотвращение
утечки защищаемой информации, утраты, хищения или уничтожения
носителей конфиденциальной информации; анализ возможных угроз и
различных факторов, приводящих к возникновению на предприятии
чрезвычайных ситуаций. Особое внимание уделяется вопросам координации
действий всех структурных подразделений, участвующих в решении задач
защиты
информации.
При
планировании
мероприятий
по
защите
256
информации учитываются все возможные виды и способы проявления
чрезвычайных
ситуаций.
Мероприятия
по
защите
информации
при
возникновении чрезвычайных ситуаций отражаются в соответствующих
планах
работы
предприятия
структурных
(его
подразделений)
на
календарный месяц. В данном разделе плана (либо в отдельном приложении
к плану) указываются также:
-
фамилия, имя, отчество, домашний адрес и контактные телефоны (в
том числе мобильной связи) каждого сотрудника, принимающего участие в
ликвидации последствий чрезвычайной ситуации на объектах предприятия;
-
очередность и порядок вызова (оповещения) всех сотрудников,
участвующих в выполнении работ по ликвидации последствий чрезвычайной
ситуации, в зависимости от ее вида, сроки прибытия этих сотрудников на
объекты предприятия;
-
обязанности каждого сотрудника предприятия и последовательность
выполнения им мероприятий (работ) в соответствии с конкретным планом
действий;
-
перечень сил и средств (в том числе транспортных средств и средств
связи),
привлекаемых
к
решению
задач
ликвидации
последствий
чрезвычайных ситуаций;
-
места
стоянки
и
маршруты
движения
транспортных
средств,
эвакуирующих носители конфиденциальной информации (в том числе
крупногабаритные);
-
маршруты эвакуации носителей конфиденциальной информации, места
их сосредоточения, способы и порядок охраны эвакуированных носителей
(крупногабаритных изделий), привлекаемые для охраны силы и средства (в
том числе штатных подразделений охраны).
12.
Пропускной
режим
и
охрана
объектов
предприятия
—
организационные мероприятия по созданию и совершенствованию системы
пропускного режима и охраны, такие, как подготовка приказов о вводе в
действие или о выводе из действия всех видов пропусков, о назначении
257
ответственных должностных лиц, разработка и переработка инструкций и
положений,
мероприятия
по
материально-техническому
обеспечению,
установке и эксплуатации технических средств охраны и др.
13. Аналитическая работа на предприятии — все виды обзоров и
отчетов о состоянии дел в области защиты информации на предприятии,
оформляемых для руководства предприятия, а также для руководителей
вышестоящих
органов
государственной
власти
или
вышестоящих
организаций; мероприятия по формированию материалов, содержащих итоги
работы
предприятия
и
его
структурных
подразделений
по
защите
информации, для изучения всеми сотрудниками предприятия. Особое место в
разделе занимают аналитические отчеты по итогам календарного месяца и
календарного года, которые готовит служба безопасности (режимносекретное подразделение) предприятия.
При необходимости включения в план иных мероприятий, не
вошедших в перечисленные разделы, они отражаются в отдельном разделе
плана («Другие мероприятия»).
Особое внимание при разработке и реализации плана мероприятий уделяется
роли
руководителей
структурных
подразделений
предприятия
как
должностных лиц, ответственных за обеспечение защиты информации в
непосредственно
подчиненных
им
подразделениях.
Контроль
за
выполнением конкретных мероприятий, включенных в данный план,
осуществляется руководителем предприятия и его заместителем, в ведении
которого находятся вопросы защиты конфиденциальной информации.
Служба безопасности (режимно-секретное подразделение) предприятия
осуществляет текущий контроль за практической реализацией включенных в
план
мероприятий
и
информирует
об
их
выполнении
указанных
должностных лиц.
258
Тема 15. Организация аналитической работы в области защиты
информации на предприятии
1. Основные направления аналитической работы. Функции аналитического
подразделения
Аналитические методы обработки информации очень важны и успешно
используются большинством фирм, которые в последнюю очередь в
аналитической
обработке
нуждаются
в
сведениях,
получаемых
и
используемых службой безопасности фирмы. Такие сведения отрывочны,
противоречивы,
зачастую
недостоверны,
но
именно
на
их
основе
принимаются жизненно важные для фирмы решения в области обеспечения
безопасности как предпринимательской деятельности, так и построения
системы защиты ценной информации. Следует иметь в виду, что система
защиты информации всегда должна быть результатом серьезного и
комплексного аналитического исследования.
Информационно-аналитическая деятельность службы безопасности
фирмы представляет собой системное получение, анализ и накопление
информации с элементами прогнозирования по вопросам, относящимся к
безопасности информации фирмы, и на этой основе консультирование и
подготовку
рекомендаций
руководству
о
правомерной
защите
от
противоправных посягательств.
Анализ состояния защиты информации — это комплексное изучение
фактов, событий, процессов, явлений, связанных с проблемами защиты
информации, в том числе данных о состоянии работы по выявлению
возможных каналов утечки информации, о причинах и обстоятельствах,
способствующих
утечке
и
нарушениям
режима
секретности
(конфиденциальности) в ходе повседневной деятельности предприятия.
Основное
предназначение
аналитической
работы
— выработка
эффективных мер, предложений и рекомендаций руководству предприятия,
направленных на недопущение утечки конфиденциальной информации о
деятельности предприятия и проводимых работах. Аналитическая работа
259
должна
включать
элементы
прогнозирования
возможных
действий
противника по получению важной защищаемой информации.
Направления аналитической работы определяются каждой фирмой
самостоятельно и отражают области ее интересов. К основным направлениям
аналитической работы, разрабатываемым на многих фирмах, можно отнести:
анализ объекта защиты, анализ угроз, анализ каналов несанкционированного
доступа к информации, анализ комплексной безопасности фирмы, анализ
нарушений
режима
конфиденциальности,
анализ
подозрений
утраты
конфиденциальной информации и т. д.
Основные
направления
аналитической
работы
на
предприятии
следующие:
-
анализ объекта зашиты;
-
анализ внутренних и внешних угроз информационной безопасности
предприятия;
-
анализ
возможных
каналов
несанкционированного
доступа
к
информации;
-
анализ системы комплексной безопасности объектов;
-
анализ имеющих место нарушений режима конфиденциальности
информации;
-
анализ предпосылок к разглашению информации, а также к утрате
носителей конфиденциальной информации.
Каждая фирма ведет индивидуальные направления аналитической
работы и самостоятельно решает, следует ли разрабатывать их постоянно,
периодически или только по мере надобности. Более того, каждая фирма
имеет свои специфические области интересов, в рамках которых проводит
аналитические исследования. Направления аналитической работы могут быть
различными,
но
логика
взаимодействия
и
система
связей
между
направлениями исследований должны сохраняться. Принципиально важными
представляются ключевые направления, работа по которым ведется
постоянно.
260
Наиболее сложными для обнаружения являются организационные
каналы несанкционированного доступа к занимаемой информации фирмы,
связанные с так называемым человеческим фактором. Например, трудно
обнаружить инициативное сотрудничество злоумышленника с сотрудником
фирмы — секретарем-референтом, экспертом, оператором ЭВМ и др.
В основе поиска и обнаружения таких каналов лежит постоянная
аналитическая работа, которая должна носить превентивный характер и
использовать в качестве инструмента учетный аппарат, предназначенный для
фиксирования (протоколирования) необходимых для анализа сведений. В
данном случае аналитическая работа представляет собой комплексное
исследование различной целевой направленности в целях выявления,
структуризации
и
изучения
опасных
объективных
и
субъективных,
потенциальных и реальных ситуаций, которые могут создать риск для
экономической и информационной безопасности фирмы, ее деятельности или
персонала, привести к материальным, финансовым или иным убыткам,
падению престижа фирмы или ее продукции.
Результаты аналитической работы показывают степень безопасности
интеллектуальной собственности, условий функционирования фирмы и
являются основой для построения и совершенствования системы защиты
традиционных и электронных информационных ресурсов, формирования
рубежей охраны территории, здания, помещений, оборудования, продукции и
персонала фирмы. Аналитическое исследование позволяет выработать
способы пассивного и активного противодействия злоумышленнику в
организационных и технических каналах, разработать и систематически
совершенствовать систему защиты информации, определять ее структуру и
стоимость в соответствии с реальными опасностями, угрожающими ценным
информационным ресурсам фирмы.
Уязвимым является любой элемент информационных ресурсов и
информационных систем. Обнаружение действующего или предполагаемого
канала
несанкционированного
доступа
к
информации,
а
также
261
предотвращение его появления возможны только при наличии постоянного
контроля и анализа объекта защиты, уровня безопасности информационных
ресурсов в источнике и канале распространения информации.
Аналитическая работа по защите информации, которую ведет фирма, и
аналитическая работа, которую ведет злоумышленник, предполагают
изучение единых объектов, имеющих вполне ясную форму и содержание,
например изучение источников конфиденциальной информации и каналов ее
санкционированного распространения. Результаты аналитической работы
злоумышленника являются тайной, поэтому, зная узкие места в системе
защиты информации фирмы, можно сделать обоснованные выводы о его
намерениях и своевременно организовать противодействие его атакам на
информацию. Другие пути носят пассивный характер ожидания случайной
ошибки в тайных действиях злоумышленника.
Обнаружение канала или каналов несанкционированного доступа к
ценной информации фирмы входит в число постоянных направлений
аналитической работы и в общем виде включает в себя:
—
анализ источников конфиденциальной информации;
—
анализ каналов объективного распространения информации;
—
аналитическую работу с источником угрозы информации.
Аналитическое
исследование
источников
конфиденциальной
информации предусматривает:
—
выявление и классификацию существующих и возможных конкурентов
и соперников фирмы, криминальных структур и отдельных преступных
элементов, интересующихся фирмой;
—
выявление
и
классификацию
максимально
возможного
числа
источников конфиденциальной информации фирмы;
—
выявление, классификацию и ведение перечня (учетного аппарата)
реального состава циркулирующей в фирме конфиденциальной информации
(в разрезе источников, обеспечиваемых функций и видов работы, с
указанием носителей: документов, дискет, файлов и т. д.);
262
—
изучение данных учета осведомленности сотрудников в секретах
фирмы в разрезе каждого руководителя и сотрудника (в том числе
технического и вспомогательного), т. е. изучение степени и динамики
реального
владения
том
(в
числе
случайного)
сотрудниками
конфиденциальной информацией;
—
изучение
документов,
состава
т.
е.
конфиденциальной
изучение
информации
правильности
в
разрезе
расчленения
тайны
(конфиденциальной информации) между документами и определение
избыточности ценной информации в документах;
—
учет и изучение выявленных внутренних и внешних, потенциальных и
реальных (пассивных и активных) угроз каждому отдельному источнику
информации,
контроль
процесса
формирования
канала
несанкционированного доступа к информации;
—
ведение и анализ полноты перечня защитных мер, предпринятых по
каждому источнику, и защитных мер, которые могут быть использованы при
активных действиях злоумышленника, заблаговременное противодействие
злоумышленнику.
Обязательному
учету
подлежат
все
санкционированные
и
несанкционированные обращения сотрудников фирмы к конфиденциальной
информации, документам, делам и базам данных.
Функции
создаваемое
анализа на предприятии
в его структуре
возлагаются на специально
аналитическое подразделение, которое
комплектуется квалифицированными специалистами в области защиты
информации. Вместе с тем, данные специалисты должны в полной мере
владеть информацией по всем направлениям деятельности предприятия:
знать виды, характер и последовательность выполнения производственных
работ,
взаимодействующие
организации,
специфику
деятельности
структурных подразделений предприятия и т.д. Как правило, аналитическое
подразделение включается в состав службы безопасности предприятия.
263
Аналитическое подразделение должно обеспечивать руководство
предприятия достоверной и аналитически обработанной информацией,
необходимой для принятия эффективных управленческих решений по всем
направлениям защиты информации. Основными функциями аналитического
подразделения являются:
-
обеспечение своевременного поступления достоверных и всесторонних
сведений по проблемам защиты информации;
-
учет, обобщение и постоянный анализ материалов о состоянии дел в
системе
защиты
информации
предприятия
филиалов
(его
и
представительств);
-
анализ
возможных
угроз
защите
информации,
моделирование
реального сценария возможных действий конкурентов (злоумышленников),
затрагивающих интересы предприятия;
-
обеспечение
эффективности
работы
по
анализу
имеющейся
информации, исключение дублирования при ее сборе, обработке и
распространении;
-
мониторинг ситуации на рынке продукции, товаров и услуг, а также во
внешней среде в целях выявления событий и фактов, которые могут иметь
значение для деятельности предприятия;
-
обеспечение безопасности собственных информационных ресурсов,
ограничение
доступа
сотрудников
предприятия
к
аналитической
информации;
-
подготовка выводов и предложений, направленных на повышение
эффективности планируемых и принимаемых мер по защите информации, а
также уточнение (корректировку) организационно-планирующих документов
предприятия и его структурных подразделений;
-
выработка рекомендаций по внесению изменений и дополнений в
методические
документы,
регламентирующие
алгоритм
действий
сотрудников предприятия по защите информации (стандарты предприятия).
264
Наличие постоянной аналитической работы, ее характер и результаты
определяют необходимость, основы организации, структуру и содержание
системы комплексной защиты информации, требования к ее эффективности и
направления ее развития и совершенствования. Анализ состояния системы
защиты информации существенно влияет на количество, состав и структуру
подразделений предприятия, непосредственно решающих эти задачи (служба
безопасности
предприятия,
служба
охраны,
режимно-секретное
подразделение и др.). От эффективности и качества ведения на предприятии
аналитической работы в полной мере зависит состояние защищенности
информационных
ресурсов
предприятия,
отнесенных
к
категории
охраняемых, а также своевременность и обоснованность принятия мер по
исключению утечки конфиденциальной информации и утрат носителей
информации. Эффективность аналитической работы и ее результаты служат
основой для принятия руководством предприятия управленческих решений
по вопросам организации защиты информации. С учетом результатов
аналитической работы могут вырабатываться следующие основные меры:
-
уточнение
(доработка) планов работы предприятия
по защите
информации, включение в них дополнительных мероприятий;
-
уточнение распределения задач и функций между структурными
подразделениями предприятия;
-
переработка
(уточнение)
должностных
(функциональных)
обязанностей сотрудников предприятия, в том числе руководящего звена,
совершенствование систем пропускного и внутри-объектового режимов;
-
ограничение круга лиц, допускаемых к конфиденциальной информации
по различным направлениям деятельности предприятия;
-
пересмотр степени конфиденциальности сведений и их носителей;
-
усиление системы охраны предприятия и его объектов, применение
особых мер защиты информации на отдельных объектах (в служебных
помещениях);
265
-
принятие решений об ограничении публикации в открытой печати,
использования в рекламной и издательской деятельности отдельных
материалов (материалов по отдельным темам), доступа командированных
лиц, об исключении рассмотрения этих материалов на конференциях,
семинарах, встречах и т.д.
Ведение эффективной аналитической работы возможно лишь при
наличии необходимой информации. Для ее получения нужна четко
сформулированная цель, определяющая конкретные источники информации.
Аналитическая работа на предприятии должна вестись последовательно и
непрерывно, представлять собой в полной мере целостное исследование.
2. Основные этапы аналитической работы
Ведение аналитической работы возможно только при наличии
необходимой информации, поэтому в первую очередь нужно определить,
какая именно информация будет необходима аналитикам для работы, где
можно ее получить и какой из источников можно при этом использовать. Как
правило,
получение
информации
не
относится
специалистами
непосредственно к аналитической работе, тем не менее определение круга
исходной информации, а также мест и способов ее получения должно
решаться непосредственно сотрудниками аналитического подразделения.
В аналитической работе можно выделить следующие основные этапы:
1) формулирование целей аналитической работы, разработка программы
исследований, формулирование предварительных гипотез (результатов
аналитической работы);
2)
отбор
и
анализ
источников
информации,
сбор
и
обобщение
информации;
3)
полноценный анализ имеющейся информации и подготовка выводов.
Основная форма ведения аналитической работы — аналитические
исследования.
266
Проведение аналитических исследований требует четкой организации
процесса, оценки имеющихся ресурсов для выполнения исследований и
достижения необходимого результата. Итогом исследования должны быть
выводы, предложения и рекомендации по совершенствованию системы
защиты информации.
На первом этапе аналитического исследования формулируются цели и
задачи исследования, разрабатывается программа исследования, которая
составляет научную основу сбора, обобщения, обработки и анализа всей
полученной информации. Типовая программа исследований включает
следующие основные разделы:
-
цели и задачи аналитического исследования;
-
предметы и объекты исследования;
-
сроки (период) проведения аналитического исследования;
-
методики проведения исследования;
-
ожидаемые результаты и предполагаемые выводы.
При формулировании целей и задач исследования нужно учитывать,
кто является его организатором и непосредственным исполнителем, какие
силы и средства могут быть задействованы для его проведения, какие будут
использоваться источники информации, способы и методы ее сбора,
обработки и анализа, какие существуют возможности для реализации
предложений
и
рекомендаций,
которые
будут
выработаны
в
ходе
исследований.
В зависимости от поставленных целей и задач определяются
конкретные методы и технологии исследования, а также процедуры сбора и
обработки информации.
Наиболее типичны следующие задачи аналитического исследования:
-
получение данных о состоянии системы защиты информации на
предприятии (его конкретных объектах, в филиалах, представительствах) ;
-
выявление возможных каналов утечки информации, подлежащей
защите;
267
-
определение обстоятельств, причин и факторов, способствующих
возникновению каналов утечки и созданию предпосылок для утечки
информации;
-
подготовка для руководства предприятия (филиала, представительства)
и его структурных подразделений конкретных рекомендаций по закрытию
выявленных каналов утечки.
Под объектом исследования понимается все то, что изучается и
анализируется в ходе исследования. Предмет исследования — та сторона
объекта,
которая
непосредственно
подлежит
изучению
в
ходе
аналитического исследования.
Особое значение на первом этапе аналитической работы имеет
формулирование
предварительных
гипотез
(версий). Предварительные
гипотезы должны объяснить роль и место выводов аналитических
исследований в логической последовательности происходящих событий в
сфере защиты охраняемой информации.
Построение предварительных гипотез проводится в следующем
порядке.
Сначала
формируется
полный
список
сведений,
которые
предполагается исследовать (проанализировать). Вошедшие в список
сведения систематизируются и располагаются по степени важности. Далее из
всего объема информации выделяется группа наиболее значимых сведений,
роль которых особенно очевидна в ситуации, подлежащей анализу и оценке.
Выбранные
сведения
классифицируются
по
актуальности,
способу
получения и степени достоверности источника. Наиболее актуальные
сведения анализируются в первую очередь.
Затем проводится выбор предварительных гипотез, объясняющих
проявления тех или иных событий (появление тех или иных сведений).
Причем в отношении одного события осуществляется проверка нескольких
гипотез (версий). При последовательной проверке гипотез особое внимание
уделяется наиболее реальным. Эти гипотезы фиксируются. Наименее
реальные гипотезы отклоняются.
268
Таким образом последовательно выбираются и формулируются
наиболее вероятные предположения, объясняющие появление тех или иных
конкретных событий (возникновение сведений). Возможные противоречия в
полученных выводах о предполагаемых версиях происходящих событий
устраняются путем всесторонней последовательной проверки реальности
гипотез.
Результатом работы по формулированию предварительных гипотез
является выбор версии, которая наиболее точно по сравнению с другими
версиями объясняет причину возникновения конкретной ситуации, связанной
с появлением возможного канала утечки конфиденциальной информации, и
характеризует состояние системы защиты информации, в том числе —
действия
соответствующих
должностных
лиц,
качество
выполнения
мероприятий и т.д.
На втором этапе проводится отбор и анализ источников информации,
сбор и обобщение данных в целях выявления канала несанкционированного
доступа
к
сведениям
конфиденциального
характера,
исключения
возможности возникновения такого канала. Для этого осуществляется
постоянный контроль объектов защиты (информационных ресурсов), а также
степени
защищенности
обрабатываемой
(циркулирующей)
в
них
информации, проводится анализ данных, получаемых из различных
источников.
Для решения конкретной задачи аналитического исследования в рамках
второго этапа из всех имеющихся в распоряжении аналитического
подразделения источников информации отбираются те, из которых поступает
информация, наиболее близкая к исследуемым проблемам, и в то же время
достаточно достоверная.
Аналитическое
исследование
источников
информации
предусматривает проведение следующих основных мероприятий:
- формирование исчерпывающего перечня источников конфиденциальной
информации на предприятии;
269
-
формирование
и
своевременное
уточнение
перечня
и
состава
конфиденциальной информации, реально циркулирующей (обрабатываемой)
на объектах предприятия, с указанием конкретных носителей, на которых она
хранится;
-
организация
и
ведение
учета
осведомленности
сотрудников
предприятия в конфиденциальной информации, накопление данных об их
ознакомлении с конкретными сведениями конфиденциального характера с
указанием носителей этих сведений;
-
изучение
и
оценка
соответствия
степени
конфиденциальности,
присвоенной информации, реальной ценности этой информации;
-
изучение внутренних и внешних угроз каждому имеющемуся на
предприятии источнику конфиденциальной информации;
-
выявление
предприятий,
заинтересованных
в
получении
конфиденциальной информации (фирм-конкурентов), а также отдельных
лиц-злоумышленников и их систематизация (классификация);
-
анализ полноты и качества мер по защите конфиденциальной
информации, принимаемых (принятых) в конкретных ситуациях. Учет и
анализ попыток
представителей
фирм-конкурентов, а
также других
злоумышленников получить конфиденциальную информацию;
-
учет и анализ кот актов сотрудников предприятия с представителями
фирм-конкурентов вне зависимости от того, касались ли они вопросов
конфиденциального характера или нет.
В ходе изучения и исследования источников информации производится
их оценка с точки зрения надежности и достоверности получаемой из них
информации. Оценка источников информации осуществляется методом
ранжирования (классификации) самих источников, поступающей из них
информации и способов ее получения. В большинстве случаев может
использоваться система экспертной оценки (непосредственно аналитиком)
надежности и достоверности полученных данных. Уровень подготовки и
практические навыки позволяют сотруднику аналитического подразделения
270
наиболее точно оценить собственно информацию, ее источник и способ ее
получения.
При
проведении
оценки
указанных
элементов,
как
правило,
используются следующие критерии:
1.
Оценка источника:
-
надежный источник;
-
обычно надежный источник;
-
довольно надежный источник;
-
не всегда надежный источник;
-
ненадежный источник;
-
источник неустановленной надежности.
2.
Оценка полученной информации:
-
информация, подтвержденная другими фактами;
-
информация, подтвержденная другими источниками;
-
информация, с высокой степенью вероятности соответствующая
действительности;
-
информация, возможно соответствующая действительности;
-
сомнительная информация;
-
неправдоподобная информация;
-
информация, установить (подтвердить) достоверность которой не
представляется возможным.
3.
Оценка способа получения информации источником:
-
информация получена источником самостоятельно;
-
информация получена источником из другого постоянного источника
информации (например, открытого источника);
-
информация получена источником из другого «разового» источника
(например, в ходе переговоров, неформального общения).
В ходе оценки достоверности информации и ее источника необходимо
учитывать возможность преднамеренной дезинформации, а также получения
непреднамеренно искаженной информации. В обоих случаях необходимо
271
проведение дополнительной проверки и более подробного всестороннего
анализа полученной информации для принятия решения о ее использовании
в ходе аналитических исследований.
С учетом результатов оценки полученной информации, а также
источников и способов ее получения осуществляются сбор и обобщение
(систематизация) необходимых для проведения полноценного анализа
сведений.
В ходе третьего этапа аналитической работы проводится полноценный
анализ полученной информации и, на основе его результатов, —
всесторонний
анализ
состояния
системы
защиты
информации,
вырабатываются эффективные меры по ее совершенствованию. На этом
этапе оформляются результаты аналитических исследований, готовятся
выводы, рекомендации и предложения в области защиты охраняемой
информации.
Анализ состояния системы защиты информации включает изучение
возможных каналов утечки информации, оценку эффективности мер по их
закрытию, оценку действий персонала предприятия по решению задач в
области
защиты
информации,
определение
основных
направлений
деятельности по защите информации.
3. Содержание и основные виды аналитических отчетов
Основной
формой
представления
результатов
аналитических
исследований является аналитический отчет. Отчеты могут оформляться в
письменном виде, также они могут быть представлены в устной форме,
сопровождаться
графиками,
диаграммами,
рисунками,
таблицами,
поясняющими или отражающими результаты проведенной работы.
Основные разделы аналитического отчета следующие:
-
цели
и
задачи
аналитического
исследования
(цели
и
задачи
аналитического исследования, пути решения поставленных задач, вопросы,
подлежащие анализу и оценке; предполагаемые результаты исследования);
272
-
источники
информации,
степень
достоверности
полученной
информации (оценки полученной информации, источников и способов ее
получения, результаты анализа степени достоверности полученной с
использованием этих источников аналитической информации);
-
обобщение полученной информации (алгоритм сбора и обобщения
необходимой для проведения полноценного анализа информации — из всего
объема полученной и обработанной информации выделяются наиболее
значимые факты);
-
основные и альтернативные версии или гипотезы (мотивированное
деление версий, объясняющих или характеризующих исследуемые события и
факты, на основную и дополнительные или альтернативные);
-
недостающая информация (дополнительная информация, необходимая
для подтверждения основной версии, ее источники и способы ее получения);
-
заключение, выводы (результаты анализа и оценки поставленных
вопросов, выводы о степени важности полученной и обработанной
информации, значение этой информации для принятия конкретных решений
в области защиты конфиденциальной информации, взаимосвязь результатов
данного
аналитического
исследования
с
другими
направлениями
аналитической работы в сфере защиты информации, возможные угрозы
защищаемой информации, а также возможные последствия воздействия
негативных факторов);
-
предложения и рекомендации по совершенствованию работы в области
защиты информации (конкретные предложения и рекомендации руководству
предприятия
и
руководителям
структурных
подразделений
по
совершенствованию работы в области
защиты
конфиденциальной
информации;
выработанные
на
основе
проведенного анализа полученной информации, а также различных событий
и фактов конкретные меры, принятие которых необходимо для закрытия
возможных каналов утечки информации и предотвращения потенциальных
угроз защищаемой информации).
273
В отдельных случаях, на основе результатов проведения более
глубокого анализа состояния системы защиты информации вырабатываются
алгоритм и способы действий персонала предприятия в конкретных
ситуациях.
В зависимости от предназначения используются следующие основные
виды аналитических отчетов:
-
оперативный (тактический) отчет;
-
перспективный (стратегический) отчет;
-
периодический отчет.
Оперативные
(тактические)
отчеты
отражают
результаты
аналитических исследований, проводимых для подготовки и принятия
какого-либо
оперативного
кратковременного
(срочного)
(экстренного)
решения
характера.
ходе
В
по
вопросу
проведения
таких
исследований анализу и оценке подвергается информация, как правило,
небольшого объема.
Перспективные (стратегические) отчеты содержат информацию, более
полную по содержанию. Анализ этой информации не ограничен по сроку
(времени) его проведения. В такие отчеты, как правило, включается
информация, содержащая более полный анализ предпосылок конкретных
ситуаций, фактов, событий. В отчетах излагаются прогнозы и перспективы
развития этих ситуаций. Отчеты этого вида соответствуют постоянным
направлениям аналитических исследований.
Периодические отчеты предназначены для анализа состояния системы
защиты информации (отдельных направлений защиты информации) в
соответствии с разработанным и утвержденным руководством предприятия
графиком. Эти отчеты не зависят от происходящих событий (возникновения
различных ситуаций), связанных с защитой информации. Такие отчеты
готовятся
по
проблемам
(направлениям),
являющимся
объектами
постоянного внимания со стороны службы безопасности предприятия (его
аналитического подразделения).
274
К составлению отчетов, независимо от формы их представления,
предъявляются общие требования, такие, как наличие глубокого анализа
событий
полученной
(фактов,
информации),
простота,
четкость
и
грамотность изложения материала, логичность
приводимых рассуждении и выводов, соответствие отчетов установленной
форме.
Одно из наиболее важных требований, предъявляемых к отчетам,
заключается в том, что их содержание и уровень подготовки аналитического
материала
должны
отвечать
запросам
конкретных
потребителей
аналитической информации — руководителей структурных подразделений
или отдельных сотрудников предприятия.
4. Классификация методов анализа информации
Полнота
и
качество
проведения
аналитических
исследований,
достоверность полученных результатов и эффективность выработанных
предложений и рекомендаций в полной мере зависят от тех методов анализа
информации, которые были выбраны и использовались сотрудниками
аналитического
подразделения
непосредственно
в
ходе
проведения
исследований.
Применяемые в ходе аналитических исследований методы анализа
информации делятся на три группы:
1)
общенаучные (качественные) методы;
2)
количественные методы;
3)
частнонаучные методы.
Основные методы анализа, относящиеся к первой группе, включают
метод выдвижения гипотез, метод интуиции, метод наблюдения, метод
сравнения, метод эксперимента.
Из
количественных
методов
наиболее
распространен
метод
статистических исследований.
275
К третьей группе относятся методы письменного и устного опроса,
метод индивидуальной беседы и метод экспертной оценки.
Метод выдвижения гипотез состоит в процедуре отделения известного
от неизвестного и вычленения в неизвестном отдельных, наиболее важных
элементов и фактов (событий).
Метод интуиции заключается в использовании аналитиком своей
способности к непосредственному постижению истины (достижению
требуемого результата) без предварительного логического рассуждения. Во
многом этот метод основывается на личном опыте аналитика.
Метод наблюдения заключается в непосредственном исследовании
(обследовании) конкретного объекта (источника информации, события,
действия, факта), в самостоятельном описании аналитиком каких-либо
фактов (событий, процессов), а также их логических связей в течение
определенного времени.
Цель метода сравнения состоит в более глубоком изучении процессов
(событий), происходящих на предприятии и имеющих отношение к вопросам
защиты охраняемой информации. Сравниваются различные факторы,
обусловливающие причины и обстоятельства, приводящие
к утечке
конфиденциальной информации или к возникновению предпосылок к ее
утечке. При использовании метода сравнения в обязательном порядке
соблюдаются
следующие
основные
условия:
сравниваемые
объекты
(действия, явления, события) должны быть сопоставимы по своим
качественным особенностям; сравнение должно определить не только
элементы сходства, но и элементы различия между исследуемыми
объектами.
Метод
эксперимента
используется
для
проверки
результатов
деятельности по конкретному направлению защиты информации или для
поиска новых решений, совершенствования системы ее защиты.
Роль
количественных
методов
анализа
заключается
в
информационном, статистическом обеспечении качественных методов.
276
Наиболее
характерен
метод
статистических
исследований,
который
заключается в проведении количественного анализа отдельных сторон
исследуемого явления (факта, события). В ходе этого анализа накапливаются
цифровые
данные
о
конфиденциальности
эффективности
состоянии
и
динамике
(секретности)
в
ходе
решения
службой
нарушений
проводимых
безопасности
режима
работ,
об
(режимно-секретным
подразделением) задач по их недопущению, о тенденциях развития ситуации
в области информационной безопасности и т.д.
Методы письменного и устного опроса заключаются в получении
путем анкетирования (или иным способом) необходимой информации от
сотрудников предприятия, руководителей подразделений, а также лиц,
допускающих
нарушения
установленного
режима
секретности
(конфиденциальности информации). При этом в анкете указываются
несколько возможных вариантов ответов на каждый поставленный вопрос.
Метод индивидуальной беседы отличает от метода письменного и
устного
опроса
предприятия.
необходимость
Использование
личного
этого
метода
общения
позволяет
с
сотрудником
в
динамично
развивающейся беседе получить конкретную информацию в зависимости от
целей аналитического исследования.
Метод экспертной оценки включает учет и анализ различных мнений
по определенному кругу вопросов, излагаемых специалистами в той или
иной области деятельности предприятии, связанной с конфиденциальной
информацией.
Выбор конкретных методов анализа при проведении аналитических
исследований в области защиты конфиденциальной информации зависит от
целей и задач исследований, а также от специфики деятельности
предприятия, состава и структуры службы безопасности и ее аналитического
подразделения.
277
Контрольный тест по курсу
А
Б
В
Г
Д
1. Установите соответствие между задачами по информационной
безопасности и их целями:
Маскировка
А Защита системы от обнаружения
Регистрация
Б Защита от информационного воздействия
Скрытие
В Защита содержания информации
Оценка
Легендирование
1. А-А, Б-В, В-А, Г-В, Д-В
2. А-В, Б-В, В-А, Г-В, Д-А
3. А-В, Б-А, В-А, Г-В, Д-В
4. А-А, Б-В, В-А, Г-В, Д-А
2. Установите соответствие между показателем и его определением:
А
Релевантность А удобство восприятия и использования информации
в процессе решения задачи.
Б
Полнота
Б степень соответствия действительному состоянию
тех реалий, которые отображает оцениваемая
информация
В
Толерантность В соответствие информации потребностям решаемой
задачи
Г мера достаточности информации для решения
соответствующих задач
1. А-В, Б-Г, В-Б
2. А-В, Б-Г, В-А
3. А-Г, Б-Б, В-А
4. А-А, Б-Г, В-Б
3. К естественным угрозам относятся:
1. Хищение носителей информации
2. Ошибки пользователя
3. Сбои аппаратуры
4. Разглашение информации
4. Деятельность государственных органов, профессионально
ориентированная на добывание необходимой информации это:
1. Злоумышленные действия
2. Промышленный шпионаж
3. Деятельность разведорганов
4. Деятельность сотрудников
5. Установите соответствие перечисленных элементов и модели
семирубежной СЗИ:
А
Б
В
Г
Д
Документ на бумажном носителе
Служебный кабинет в здании на территории ОИ
Линии связи между зданиями на территории ОИ
Носители информации, перемещаемые в пределах
охраняемой зоны
Внешние каналы связи
А
Б
В
Г
1 рубеж
2 рубеж
3 рубеж
4 рубеж
Д
Е
Ж
5 рубеж
6 рубеж
7 рубеж
1. А-Г, Б-Б, В-Е, Г-Г, Д-Ж
2. А-Г, Б-В, В-Е, Г-Г, Д-Ж
3. А-Г, Б-В, В-Ж, Г-Г, Д-Ж
4. А-Г, Б-Б, В-Ж, Г-Г, Д-Ж
6. К частным задачам по технической дезинформации относятся:
1. Радиоимитация
2. Маскировка
3. Радиодезинформация
4. Демонстративные действия
7. Установите соответствие между показателем и его определением:
А
Важность
А значимость информации сточки зрения задач, для
решения которых она используется
Б
Полнота
Б степень соответствия действительному состоянию
тех реалий, которые отображает оцениваемая
информация
В
Адекватность В соответствие информации потребностям решаемой
задачи
Г мера достаточности информации для решения
соответствующих задач
1. А-В, Б-Г, В-А
2. А-Г, Б-В, В-Б
3. А-А, Б-Г, В-Б
4. А-Б, Б-А, В-Г
8. К преднамеренным угрозам относятся:
1. Хищение носителей информации
2. Ошибки пользователя
3. Сбои аппаратуры
4. Разглашение информации
9. Негласная деятельность организаций, направленная на добывание
конфиденциальной информации это:
1. Злоумышленные действия
2. Промышленный шпионаж
279
3. Деятельность разведорганов
4. Деятельность сотрудников
10. Установите соответствие перечисленных элементов и модели
семирубежной СЗИ:
А
Сейф в здании на территории ОИ
А 1 рубеж
Б
Здание на территории ОИ
Б 2 рубеж
В
Вычислительный центр
В 3 рубеж
Г
Жесткий диск
Г 4 рубеж
Д
Линии связи в здании
Д 5 рубеж
Е 6 рубеж
Ж 7 рубеж
1. А-Г, Б-Б, В-В, Г-Г, Д-Д
2. А-Г, Б-Б, В-Б, Г-Д, Д-Е
3. А-В, Б-Б, В-В, Г-Г, Д-Д
4. А-Д, Б-Б, В-В, Г-Г, Д-Ж
11. Установите соответствие между понятием и его определением:
А
Реклама
А
деятельность, связанная с размещением
различными способами информации о
направлениях работы предприятия, не
преследующая рекламных целей
Б
Рекламодатель Б
изготовитель или продавец товара либо иное
определившее объект рекламирования и
содержание рекламы лицо
В
Публикаторская В
информация, распространенная любым
деятельность
способом, в любой форме и с использованием
любых средств, адресованная неопределенному
кругу лиц и направленная на привлечение
внимания к объекту рекламирования,
формирование или поддержание интереса к
нему и его продвижение на рынке
1. А-В, Б-Б, В-А
2. А-Б, Б-В, В-А
3. А-А, Б-Б, В-В
4. А-В, Б-А, В-Б
12. Виды деятельности, подлежащие лицензированию:
1. работы, связанные с использованием сведений, составляющих
государственную тайну
2. работы, связанные с эксплуатацией средств защиты информации
3. работы, связанные с созданием средств защиты информации
4. работы, связанные с осуществлением мероприятий и (или) оказанием услуг
по защите государственной тайны
280
13. В состав экспертной комиссии входят:
1. специалисты в различных областях деятельности предприятия
2. сотрудники службы безопасности
3. представители других предприятий, имеющих отношение к
рассматриваемым материалам 4. сотрудники режимно-секретного
подразделения
5. автор материалов, подготовленных к открытому опубликованию
14. К основным формам контроля за состоянием защиты информации
относятся:
1. предварительный контроль
2. промежуточный контроль
3. текущий контроль
4. заключительный контроль
5. повторный контроль
15. Установите соответствие между видами деятельности и органами,
уполномоченными на ведение лицензионной деятельности в сфере защиты
Гостайны:
А. ФСБ РФ, Служба внешней
А. допуск к работам с Гостайной
разведки РФ
Б. проведение работ, связанных с
Б. ФСБ РФ, ФСТЭК, Служба
созданием средств защиты
внешней разведки РФ
информации
В. оказание услуг в области защиты В. ФСТЭК, Служба внешней
Гостайны
разведки РФ, Минобороны РФ,
ФСБ РФ
1. А-Б, Б-В, В-А
2. А-А, Б-Б, В-В
3. А-А, Б-В, В-Б
4. А-В, Б-А, В-Б
16. Срок действия лицензии:
1. не менее 3 лет
2. менее 3 лет
3. не более 5 лет
4. более 5 лет
17. Основными направлениями защиты информации в ходе рекламной
деятельности являются:
1.
подготовка и экспертиза материалов, предназначенных для
использования в рекламной деятельности, на предмет отсутствия в них
информации с ограниченным доступом
281
2.
анализ материалов в процессе их подготовки рекламопроизводителем и
рекламораспространителем к размещению в средствах рекламы
3.
анализ материалов в процессе их подготовки рекламодателем и
рекламораспространителем к размещению в средствах рекламы
4.
постоянный контроль порядка распространения и содержания
распространенных рекламных материалов независимо от способа, формы и
периодичности их распространения
18. Критериями надежности персонала являются:
1. профессиональная надежность
2. психологическая надежность
3. психическая надежность
4. моральная надежность
19. Системы наблюдения предназначены для:
1. определение причин срабатывания средств охранной сигнализации
2. регулирования входа/выхода на проходных предприятий
3. получение оперативной информации о проникновении на охраняемый
объект злоумышленника
20. Установите соответствие между номером этапа определения
состава конфиденциальных документов и его содержанием:
А
1 этап
А
определение информации относимой к коммерческой
тайне
Б
2 этап
Б
определение конкретных сроков конфиденциальности
информации
В
3 этап
В
установление состава циркулирующей на предприятии
информации
1. А-В, Б-А, В-Б
2. А-Б, Б-А, В-В
3. А-А, Б-В, В-Б
4. А-В, Б-Б, В-А
21. К коммерческой тайне НЕ относятся:
1. Финансовые документы
2. Учредительные документы и сведения о хозяйственной деятельности
3. Охраняемые государством сведения
4. Документы, отражающие технологические процессы
22. В программу приема иностранцев НЕ входят:
1. данные о лицах, выделяемых для работы с иностранцами
2. подготовка помещений для приема иностранцев
3. порядок встречи, сопровождения и проводов иностранцев
4. маршрут передвижения зарубежных представителей
5. мероприятия по усилению режима конфиденциальности
282
23. Укажите последовательность действий должностных лиц
диспетчерской службы:
А. принятие мер по локализации дестабилизирующего воздействия
нарушителя на информацию
Б. принятие мер по пресечению злоумышленных действий и задержанию
нарушителя
В. принятие неотложных мер по спасению людей и материальных
ценностей
Г. доклад руководству о ситуации и принятых мерах
Д. проверка достоверности имеющихся данных о характере ситуации
1. Д-А-В-Б-Г
2. Д-Б-А-Г-В
3. Д-В-Б-А-Г
4. Д-Г-Б-А-В
24. При организации пропускного режима используются следующие
виды пропусков:
1. постоянные
2. краткосрочные
3. материальные
4. долгосрочные
5. разовые
25. Установите соответствие между номером варианта и содержанием
определения состава информации, относимой к служебной тайне:
А перечни разрабатывают и министерства и на основе этих
А 1
вариант
перечней — подведомственные предприятия
Б 2
Б полномочия по разработке перечней передаются
вариант
руководителям подведомственных предприятий
В 3
В министерства и ведомства разрабатывают единые
вариант
отраслевые перечни сведений ограниченного
распространения
1. А-А, Б-Б, В-В
2. А-В, Б-Б, В-А
3. А-В, Б-А, В-Б
4. А-Б, Б-В, В-А
1.
2.
3.
4.
26. К коммерческой тайне НЕ относятся:
Управленческие документы
Документы, отражающие производственную деятельность
Сведения о негативной стороне деятельности
Общественные на законных основаниях сведения
27. В план режимных мероприятий НЕ входят:
283
1. маршрут передвижения зарубежных представителей
2. инструктаж лиц, выделенных для работы с иностранцами
3. сведения о персональном составе делегации (группы) иностранцев
4. подготовка помещений для приема иностранцев
5. контроль за подготовкой документации, предназначенной для
ознакомления иностранных представителей
28. Установите соответствие между понятием и его определением:
А Доступ к
А действия, направленные на получение
информации
информации неопределенным кругом лиц
Б Предоставление Б возможность получения информации и ее
информации
использования
В Распространение В действия, направленные на получение
информации
информации определенным кругом лиц
1. А-А, Б-В, В-Б
2. А-Б, Б-А, В-В
3. А-А, Б-Б, В-В
4. А-Б, Б-В, В-А
29. К задачам физической защиты на предприятии относятся:
1. Предупреждение случаев несанкционированного доступа
2. Создание препятствий действиям нарушителя
3. Своевременное обнаружение несанкционированных действий нарушителя
4. Предотвращение проникновения злоумышленников к носителям
конфиденциальной информации в целях ее хищения или уничтожения
30. К основным задачам бюро пропусков НЕ ОТНОСЯТСЯ:
1. Обеспечение контрольно-пропускных пунктов образцами действующих
пропусков
2. Оперативное реагирование и принятие решений в чрезвычайных ситуациях
3. Проведение проверок наличия бланков всех видов пропусков
4. Комплексный подход к использованию сил и средств для решения задач
пропускного режима
31. Грифы секретности для носителей сведений, распространение
которых может нанести ущерб интересам Российской Федерации:
1. Особой важности
2. Совершенно секретно
3. Секретно
32. К организационным мерам по защите информации относятся:
1. Участие в экспертизе материалов, предназначенных для открытого
опубликования
2. Анализ эффективности функционирования технических систем и средств
защиты информации
284
3. Организация разработки, внедрения и использования различных средств и
систем защиты информации
33. Установите соответствие между понятием и его определением:
А Допуск
А граница охраняемой зоны оснащенная физическими
барьерами и контрольно-пропускными пунктами
Б Доступ
Б разрешение на проведение работы с документами и
сведениями, составляющими конфиденциальную
информацию
В Периметр В проход в охраняемые зоны объекта предприятия
1. А-В, Б-Б, В-А
2. А-Б, Б-В, В-А
3. А-А, Б-В, В-Б
4. А-Б, Б-А, В-В
34. К задачам инженерно-технической защите информации относятся:
1. Закрытие возможных технических каналов утечки конфиденциальной
информации
2. Защита носителей конфиденциальной информации от уничтожения и
нанесения иного вреда
3. Пресечение несанкционированных действий на территории предприятия
35. К основным принципам организации пропускного режима на
предприятии НЕ ОТНОСЯТСЯ:
1. Максимальное использование элементов автоматизации
2. Централизация системы управления пропускным режимом
3. Контроль за работой контрольно-пропускных пунктов
4. Оформление, выдача, замена и уничтожение пропусков
36. Сведения, распространение которых может нанести ущерб
интересам отрасли экономики Российской Федерации:
1. Секретные сведения
2. Сведения особой важности
3. Совершенно-секретные сведения
37. К принципам создания системы инженерно-технической защиты
информации:
1. Гибкость
2. Многофункциональность
3. Многорубежность
4. Скрытность
38. К основным и наиболее эффективным методам контроля за
состоянием защиты информации относятся:
1. проверка
285
2. сравнение
3. учет
4. анализ
39. Установите соответствие между понятием и его определением:
А Комплексные
А Проводятся по одному или нескольким
проверки
направлениям защиты конфиденциальной
информации
Б Частные проверки
Б Организуются заблаговременно
В Плановые проверки В Проводятся по всем направлениям защиты
конфиденциальной информации
Г Внезапные
Г Организуются и проводятся по необходимости
проверки
1. А-Б, Б-А, В-Г, Г-В
2. А-В, Б-А, В-Б, Г-Г
3. А-Г, Б-В, В-А, Г-Б
4. А-А, Б-Г, В-В, Г-Б
40. Установите соответствие между формой контроля за состоянием
защиты информации на предприятии и ее характеристикой:
А Предварительный А Направлен на оценку состояния защиты
информации в ходе проведения мероприятия и по
контроль
его завершении
Б Текущий
Б Направлен на проверку соответствия
контроль
спланированных мероприятий по защите
информации требованиям нормативнометодических документов
В Заключительный В Проводится в целях проверки полноты устранения
контроль
выявленных недостатков в ходе других видов
контроля
Г Повторный
Г Направлен на оценку мер по защите информации
контроль
в рамках повседневной деятельности
1. А-Б, Б-А, В-Г, Г-В
2. А-В, Б-А, В-Б, Г-Г
3. А-Г, Б-В, В-А, Г-Б
4. А-Б, Б-Г, В-А, Г-В
41. Установите соответствие ответственности работников за
разглашение конфиденциальной информации и ее характеристикой:
А Дисциплинарная
А Влечет наложение штрафа
ответственность
Б Материальная
Б Наступает в случае совершения преступлений
ответственность
в сфере защиты государственной тайны
В Административная В Наступает в случае нанесения ущерба
286
ответственность
Г Уголовная
ответственность
1. А-Г, Б-В, В-А, Г-Б
2. А-А, Б-В, В-Г, Г-Б
3. А-Г, Б-А, В-В, Г-Б
4. А-Г, Б-В, В-Б, Г-А
Г
предприятию
Влечет применение взысканий: выговор,
замечание, увольнение
42. В комиссию для проведения служебного расследования по фактам
разглашения конфиденциальной информации входят:
1. работник режимно-секретного подразделения
2. работники, имеющие отношение к данным сведениям
3. работники, не имеющие отношение к данным сведениям
4. работники вышестоящей организации
43. Срок проведения служебного расследования по фактам
разглашения конфиденциальной информации:
1. не более 2-х месяцев со дня обнаружения факта разглашения
конфиденциальной информации
2. более 1 месяца со дня обнаружения факта разглашения конфиденциальной
информации
3. не более 1 месяца со дня обнаружения факта разглашения
конфиденциальной информации
44. Комиссия по определению степени секретности разглашенной
информации должна представить мотивированное заключение в срок:
1. не более 2-х недель
2. не позднее 10 дней
3. не позднее 7 дней
45. Списание с учета утраченных носителей конфиденциальной
информации осуществляется:
1. на основании распоряжения руководителя по результатам расследования
2. на основании акта, утвержденного руководителем
3. на основании акта, утвержденного руководителем с результатами
расследования
46. Установите соответствие между видами аналитических отчетов и
их характеристикой:
А Оперативный
А
Отражают информацию по направлениям,
отчет
являющимся объектами постоянного внимания
со стороны службы безопасности предприятия
Б Перспективный Б
Отражают результаты аналитических
отчет
исследований проводимых для подготовки и
принятия какого-либо экстренного решения
287
В Периодический В
отчет
Содержит информацию, содержащую более
полный анализ предпосылок конкретных
ситуаций, фактов, событий
1. А-Б, Б-А, В-В
2. А-В, Б-А, В-Б
3. А-А, Б-В, В-Б
4. А-Б, Б-В, В-А
47. Методы анализа информации делятся на группы:
1. научные методы
2. качественные методы
3. количественные методы
4. частнонаучные методы
48. К общенаучным методам относятся:
1. метод статистических исследований
2. метод интуиции
3. метод наблюдения
4. метод сравнения
5. метод эксперимента
6. метод опроса
49. К количественным методам относятся:
1. метод статистических исследований
2. метод интуиции
3. метод наблюдения
4. метод сравнения
5. метод эксперимента
6. метод опроса
50. К частнонаучным методам относятся:
1. метод статистических исследований
2. метод письменного опроса
3. метод устного опроса
4. метод сравнения
5. метод индивидуальной беседы
6. метод экспертной оценки
51. Установите соответствие между названием метода и его
характеристикой:
А Метод эксперимента
А Основывается на личном опыте аналитика
Б Метод интуиции
Б Используется для проверки результатов
деятельности по конкретному направлению
защиты информации или для поиска новых
решений совершенствования защиты
288
В Метод статистических
исследований
В Заключается в проведении
количественного анализа отдельных
сторон исследуемого явления
1. А-Б, Б-А, В-В
2. А-В, Б-А, В-Б
3. А-А, Б-В, В-Б
4. А-Б, Б-В, В-А
52. Порядок передачи сведений, составляющих Гостайну, другим
государствам:
А. изучение возможности передачи сведений
Б. передача документов межведомственной комиссии
В. заинтересованные органы исполнительной власти направляют
ходатайство в органы государственной власти
Г. извещение заявителя о решении
Д. подготовка проекта решения Правительства РФ
Е. подготовка межправительственного договора
1. А-Б-Г-Д-Е-В
2. В-А-Г-Б-Д-Е
3. В-Г-Д-Б-Е-А
4. В-А-Б-Г-Д-Е
53. Установите соответствие между задачами по информационной
безопасности и их целями:
А
Дезинформация
А Защита системы от обнаружения
Б
Уничтожение
Б Защита от информационного воздействия
В
Сигнализация
В Защита содержания информации
Г
Защита от
воздействия на
человека
Д
Реагирование
1. А-А, Б-Б, В-В, Г-Б, Д-В
2. А-А, Б-В, В-Б, Г-Б, Д-В
3. А-В, Б-В, В-В, Г-Б, Д-В
4. А-А, Б-В, В-В, Г-Б, Д-В
54. Общее структурное построение системы защиты информации
содержит следующие структурные компоненты:
1. Ресурсы информационно-вычислительной системы
2. Техническое обеспечение
3. Организационно-правовое обеспечение
4. Человеческий компонент
5. Организационно-технические мероприятия
55. К ресурсам информационно-вычислительной системы относятся:
289
1. Системные программисты
2. Лингвистическое обеспечение
3. Математическое обеспечение
4. Обслуживающий персонал
5. Программное обеспечение
56. Установите соответствие между этапами создания систем защиты
информации и общим их содержанием:
А Подготовительный А Принимается принципиальное решение о
необходимом уровне защиты и осуществляется
проектирование системы защиты
Б Основной
Б Производится оценка системы защиты по
критериям эффективности и по техникоэкономическим показателям
В Заключительный
В Изучение и оценка всех факторов, влияющих на
защиту информации
1. А-Б, Б-А, В-В
2. А-В, Б-Б, В-А
3. А-В, Б-А, В-Б
4. А-А, Б-В, В-Б
57. К организационным мероприятиям по обеспечению режима
секретности относятся:
1. Контроль эффективности технической защиты информации
2. Организация и поддержание надежного пропускного режима
3. Подбор, оценка и расстановка обслуживающего персонала
4. Определение контролируемых зон ОИ
58. К организационным мероприятиям по противодействию
техническим разведкам относятся:
1. организация специальных проверок и специальных исследований
технических средств обработки конфиденциальной информации
2. реализация специальных правил работы с ЭВТ и другими техническими
средствами обработки конфиденциальной информации
3. организация специальных проверок помещений на наличие закладных
устройств
4. разработка, распределение, доставка и надежное хранение ключей
шифрования
59.Структура системы типовых документов может быть представлена
совокупностью следующих групп документов:
1. справочно-информационных
2. нормативно-правовых
3. организационно-распорядительных
4. руководящих методических материалов
5. инструктивных
290
6. регистрационных
60. Установите соответствие между наименованием группы
документов и их содержанием:
А справочноА Нормативно-правовые документы
информационных
ведомственного уровня
Б руководящих
Б Типовые инструкции
методических материалов
В нормативно-правовых
В Стандарты
Г регистрационных
Г Документы по применению технических
и организационных средств защиты
Д инструктивных
Д Учетные документы
1. А-Б, Б-Г, В-А, Г-Д, Д-В
2. А-В, Б-Б, В-А, Г-Д, Д-Г
3. А-В, Б-Г, В-А, Г-Д, Д-Б
4. А-В, Б-А, В-Г, Г-Д, Д-Б
61. К внутренним ЧС относятся:
1. конфликтные ситуации
2. стихийные бедствия
3. сбои
4. диверсии
5. техногенные аварии
6. преступные действия
62. К внешним ЧС можно отнести следующие:
1. конфликтные ситуации
2. стихийные бедствия
3. сбои
4. диверсии
5. техногенные аварии
6. преступные действия
63. К наиболее опасным для ЗИ относятся ситуации, связанные с
умышленным нанесением ущерба информационной безопасности
предприятия:
1. конфликтные ситуации
2. стихийные бедствия
3. сбои
4. диверсии
5. техногенные аварии
6. преступные действия
64. К основным объектам охраны относятся:
1. документы
291
2. изделия
3. персонал
4. территория
5. руководство предприятия
65. К особым объектам охраны относятся:
1. документы
2. изделия
3. персонал
4. территория
5. руководство предприятия
66. Ко второму классу КНПИ относятся:
1. хищение носителей информации
2. установка закладных устройств в СОИ
3. подслушивание разговоров
4. копирование информации с носителей
5. снятие информации с устройств электронной памяти
6. копирование информации с технических устройств отображения
67. К четвертому классу КНПИ относятся:
1. хищение носителей информации
2. снятие наводок с системы теплоснабжения
3. использование высокочастотного навязывания
4. осмотр отходов и мусора
5. получение информации по виброакустическим каналам
68. К третьему классу КНПИ относятся:
1. электромагнитные излучения линий связи
2. снятие наводок с системы теплоснабжения
3. использование высокочастотного навязывания
4. выведывание информации у обслуживающего персонала за пределами
объекта
5. использование технических средств оптической разведки
69. Основанием для доступа командированного лица к сведениям,
составляющим Гостайну, являются следующие документы:
1. предписание на выполнение задания
2. командировочное удостоверение
3. паспорт
4. справка о допуске
70. К техническим средствам физической защиты относятся:
1. средства контроля прохода
2. средства специальной связи
292
3. строительные конструкции
4. средства систем жизнеобеспечения
5. заграждения, решетки
71. К субъективным преднамеренным ПНЦИ относятся:
1. ошибки людей
2. диверсия
3. непосредственные действия над носителем
4. отказы
5. информационное воздействие
72. К субъективным непреднамеренным ПНЦИ относятся:
1. отказы обслуживающего персонала
2. сбои людей
3. диверсия
4. отказы
5. сбои
73. Задачи, относящиеся в распространении заведомо ложных
сведений по различным каналам, имитацией или искажением признаков и
свойств отдельных элементов объектов защиты, создания ложных объектов и
др. называются
1. легендированием
2. резервированием элементов системы
3. дезинформацией
4. регистрацией сведений
74. Задачи, заключающиеся в скрытии факта наличия информации
методами стеганографии, в преобразовании данных называются
1. регистрацией сведений
2. маскировкой информации
3. уничтожением информации
4. обеспечением сигнализации
75. Формальные средства защиты делятся на:
1. программные средства
2. физические средства
3. организационные средства
4. аппаратные средства
5. законодательные средства
76. Неформальные средства защиты делятся на:
1. аппаратные средства
2. программные средства
3. организационные средства
293
4. морально-этические средства
5. законодательные средства
77. Формы работы предприятия со СМИ:
1. создание публикаций
2. подготовка сообщений и пресс-релизов
3. написание рекламных статей
4. официальные комментарии
5. посещение объектов предприятия журналистами
78. Требования, предъявляемые к системе защиты:
1. адекватные
2. функциональные
3. эргономические
4. экономические
5. технологические
6. организационные
7. технические
79. Подсистема, выполняющая функции идентификации, проверки
подлинности и контроля доступа пользователей к ресурсам, называется:
1. подсистемой криптографической защиты
2. подсистемой обеспечения целостности
3. подсистемой ограничения доступа
4. подсистемой организации и учета
80. Подсистема, являющаяся обязательной для любой СЗИ и включает
организационные, программно-аппаратные и другие средства и методы,
обеспечивающие контроль целостности, резервирование информационных
ресурсов на других носителях и др., называется:
1. подсистемой криптографической защиты
2. подсистемой обеспечения целостности
3. подсистемой ограничения доступа
4. подсистемой организации и учета
294
Список литературы
1. Вус, М.А. Государственная тайна и ее защита в Российской Федерации
/М.А. Вус, А.В. Федоров. – М.: Юридический центр Пресс, 2007.
2. Романов,
О.А.
Организационное
обеспечение
информационной
безопасности: учебник /О.А. Романов, С.А. Бабин, С.Г. Жданов. – М.:
Академия, 2008.
3. Ярочкин, В.И. Аудит безопасности фирмы: теория и практика: учебное
пособие /В.И. Ярочкин, Я.В. Бузанова. – М.: Академический проект;
Корорлев:Парадигма, 2005.
4. Енин,
А.В.
Интеллектуальные
секреты
и
безопасность
бизнеса:
практическое пособие /А.В. Енин, И.Н. Ковалевич, В.М. Руденков. –
Минск: ФУАинформ, 2007.
5. Ярочкин, В.И. Система безопасности фирмы /В.И. Ярочкин. - М.: Ось-89,
2003.
6. Яскевич, В.И. Секьюрити: Организационные основы безопасности фирмы
/В.И. Яскевич. – М.: Ось-89, 2008.
7. Семкин, С.Н. Основы организационного обеспечения информационной
безопасности объектов информатизации: учебное пособие / С.Н. Семкин,
Э.В. Беляков, С.В. Гребнев, В.И. Козачок. – М.: Гелиос АРВ, 2005.
8. Бармен, С. Разработка правил информационной безопасности / С. Бармен.
– М.: Издательский дом «Вильямс», 2002.
9. Курило, А.П. Обеспечение информационной безопасности бизнеса / А.П.
Курило и др. – М.: БДЦ-пресс, 2005.
295
Приложения
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 6 февраля 2010 г. N 63
ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИИ
О ПОРЯДКЕ ДОПУСКА ДОЛЖНОСТНЫХ ЛИЦ И ГРАЖДАН РОССИЙСКОЙ
ФЕДЕРАЦИИ К ГОСУДАРСТВЕННОЙ ТАЙНЕ
В соответствии с Законом Российской Федерации "О государственной тайне" Правительство
Российской Федерации постановляет:
1. Утвердить прилагаемую Инструкцию о порядке допуска должностных лиц и граждан
Российской Федерации к государственной тайне.
2. Установить, что допуск к государственной тайне, оформленный до вступления в силу
настоящего Постановления, действителен до окончания срока действия допуска.
3. Предоставить Федеральной службе безопасности Российской Федерации право давать
государственным органам, органам местного самоуправления и организациям разъяснения по
вопросам применения Инструкции, утвержденной настоящим Постановлением.
4. Органам государственной власти Российской Федерации, органам государственной власти
субъектов Российской Федерации, органам местного самоуправления и организациям привести
свои акты в соответствие с Инструкцией, утвержденной настоящим Постановлением.
5. Признать утратившими силу:
Постановление Правительства Российской Федерации от 28 октября 1995 г. N 1050 "Об
утверждении Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к
государственной тайне" (Собрание законодательства Российской Федерации, 1997, N 43, ст. 4987);
пункт 15 изменений и дополнений, которые вносятся в акты Правительства Российской
Федерации по вопросам пожарной безопасности, утвержденных Постановлением Правительства
Российской Федерации от 18 августа 2003 г. N 475 "О внесении изменений и дополнений в
некоторые акты Правительства Российской Федерации в связи с совершенствованием
государственного управления в области пожарной безопасности" (Собрание законодательства
Российской Федерации, 2003, N 33, ст. 3269);
Постановление Правительства Российской Федерации от 15 ноября 2004 г. N 637 "О
внесении изменений в Инструкцию о порядке допуска должностных лиц и граждан Российской
Федерации к государственной тайне" (Собрание законодательства Российской Федерации, 2004, N
47, ст. 4658);
Постановление Правительства Российской Федерации от 18 мая 2009 г. N 415 "О внесении
изменений в Инструкцию о порядке допуска должностных лиц и граждан Российской Федерации к
государственной тайне" (Собрание законодательства Российской Федерации, 2009, N 21, ст. 2565).
6. Настоящее Постановление вступает в силу с 1 мая 2010 г.
Председатель Правительства
Российской Федерации
В.ПУТИН
Утверждена
Постановлением Правительства
Российской Федерации
от 6 февраля 2010 г. N 63
ИНСТРУКЦИЯ
О ПОРЯДКЕ ДОПУСКА ДОЛЖНОСТНЫХ ЛИЦ И ГРАЖДАН РОССИЙСКОЙ
ФЕДЕРАЦИИ К ГОСУДАРСТВЕННОЙ ТАЙНЕ
296
I. Общие положения
1. Настоящая Инструкция, разработанная в соответствии с законодательством Российской
Федерации о государственной тайне, определяет порядок допуска должностных лиц и граждан
Российской Федерации (далее - граждане) к государственной тайне и формы учетной
документации, необходимой для оформления такого допуска, согласно приложению.
Положения настоящей Инструкции обязательны для выполнения государственными
органами, органами местного самоуправления и организациями, которые выполняют работы,
связанные с использованием сведений, составляющих государственную тайну, либо намерены
получить в установленном порядке лицензию на право проведения таких работ (далее организации), гражданами, взявшими на себя обязательства либо обязанными по своему статусу
исполнять законодательство Российской Федерации о государственной тайне.
2. Государственные органы, наделенные полномочиями по распоряжению сведениями,
отнесенными к государственной тайне, могут принимать с учетом специфики решаемых ими задач
ведомственные инструкции, регламентирующие порядок допуска граждан к государственной тайне
в этих государственных органах по согласованию с федеральным органом исполнительной власти,
уполномоченным в области обеспечения безопасности, если иное не предусмотрено
нормативными правовыми актами Президента Российской Федерации.
3. В настоящей Инструкции используются следующие основные понятия:
"доступ к сведениям, составляющим государственную тайну" - санкционированное
полномочным должностным лицом ознакомление конкретного работника со сведениями,
составляющими государственную тайну;
"близкие родственники" - жена (муж), отец, мать, дети, усыновители, усыновленные,
полнородные и неполнородные (имеющие общих отца или мать) братья и сестры;
"постоянное проживание за границей" - проживание граждан за пределами Российской
Федерации более 6 месяцев в течение года, не связанное с исполнением ими обязанностей
государственной службы;
"номер допуска к государственной тайне" - номер отметки о проведении проверочных
мероприятий, проставляемый органами безопасности, а при оформлении допуска к
государственной тайне без проведения органами безопасности проверочных мероприятий - номер
соответствующего удостоверения либо учетный номер карточки (форма 1).
4. В соответствии со степенями секретности сведений, составляющих государственную
тайну, устанавливаются следующие формы допуска граждан к государственной тайне:
первая форма - для граждан, допускаемых к сведениям особой важности;
вторая форма - для граждан, допускаемых к совершенно секретным сведениям;
третья форма - для граждан, допускаемых к секретным сведениям.
Доступ граждан к сведениям, составляющим государственную тайну, разрешается только
при наличии у них допуска к государственной тайне по соответствующей форме. Наличие у
граждан допуска к сведениям более высокой степени секретности является основанием для их
доступа к сведениям более низкой степени секретности.
5. Оформление гражданам допуска к государственной тайне осуществляется по месту
работы (службы).
Оформление допуска к государственной тайне гражданам, пребывающим в запасе и
поступающим на военную службу по контракту либо подлежащим призыву на военную службу (в
том числе по мобилизации), на военные сборы, а также гражданам, не пребывающим в запасе и
подлежащим призыву для прохождения военной службы, которым требуется допуск к
государственной тайне для исполнения служебных обязанностей, осуществляется военными
комиссариатами по месту воинского учета указанных граждан.
6. Если по характеру выполняемых должностных (специальных, функциональных)
обязанностей предусматривается доступ к сведениям, составляющим государственную тайну,
граждане могут быть назначены на эти должности только после оформления допуска к
государственной тайне по соответствующей форме.
7. Допуск граждан к государственной тайне предусматривает:
а) принятие на себя обязательств перед государством по нераспространению доверенных
им сведений, составляющих государственную тайну;
б) письменное согласие на частичные, временные ограничения их прав в соответствии со
статьей 24 Закона Российской Федерации "О государственной тайне";
в) письменное согласие на проведение в отношении их полномочными органами
проверочных мероприятий;
г) определение видов, размеров и порядка предоставления социальных гарантий,
предусмотренных законодательством Российской Федерации;
д) ознакомление с нормами законодательства Российской Федерации о государственной
тайне, предусматривающими ответственность за его нарушение;
297
е) принятие руководителем организации решения (в письменном виде) о допуске
оформляемого гражданина к сведениям, составляющим государственную тайну.
8. Проверочные мероприятия, связанные с оформлением допуска граждан к государственной
тайне, осуществляются органами безопасности по месту расположения организаций, их
территориально обособленных подразделений.
Проверочные мероприятия, связанные с оформлением допуска к государственной тайне
сотрудников и граждан, принимаемых на службу (работу) в федеральный орган исполнительной
власти, уполномоченный в области внешней разведки, осуществляются указанным федеральным
органом исполнительной власти во взаимодействии с федеральным органом исполнительной
власти, уполномоченным в области обеспечения безопасности.
9. Допуск граждан к государственной тайне по третьей форме оформляется без проведения
органами безопасности проверочных мероприятий. В случае если имеются сомнения в
достоверности предоставленных гражданами анкетных данных, руководитель организации может
в установленном порядке направить материалы в орган безопасности для проведения
проверочных мероприятий.
Руководителям организаций, работникам их структурных подразделений по защите
государственной тайны, а также лицам, на которых возлагается исполнение функций структурных
подразделений по защите государственной тайны, допуск к государственной тайне оформляется с
проведением органами безопасности проверочных мероприятий.
Органы безопасности по согласованию с заинтересованными организациями определяют
организации, в которых допуск к государственной тайне по третьей форме оформляется с
проведением органами безопасности проверочных мероприятий.
10. Обязательства граждан перед государством по соблюдению требований
законодательства Российской Федерации о государственной тайне, с которыми заключается
трудовой договор (контракт), отражаются в трудовом договоре (контракте), а обязательства
граждан, с которыми не заключается трудовой договор (контракт), оформляются в виде расписки
(примерное содержание обязательств представлено в форме 2).
11. Члены Совета Федерации Федерального Собрания Российской Федерации, депутаты
Государственной Думы Федерального Собрания Российской Федерации, судьи на период
исполнения ими своих полномочий, а также адвокаты, участвующие в качестве защитников в
уголовном судопроизводстве по делам, связанным со сведениями, составляющими
государственную тайну, допускаются к сведениям, составляющим государственную тайну, без
проведения проверочных мероприятий, предусмотренных статьей 21 Закона Российской
Федерации "О государственной тайне".
Указанные лица предупреждаются о неразглашении государственной тайны, ставшей им
известной в связи с исполнением ими своих полномочий, и о привлечении их к ответственности в
случае ее разглашения, о чем у них берется соответствующая расписка.
12. Основаниями для отказа гражданину в допуске к государственной тайне могут являться:
а) признание гражданина судом недееспособным, ограниченно дееспособным или
рецидивистом, нахождение его под судом или следствием за государственные или иные тяжкие
преступления, наличие у гражданина неснятой судимости за эти преступления;
б) наличие у гражданина медицинских противопоказаний для работы с использованием
сведений, составляющих государственную тайну, согласно перечню, утверждаемому
федеральным органом исполнительной власти, уполномоченным в области здравоохранения и
социального развития;
в) постоянное проживание его самого и (или) его близких родственников за границей и (или)
оформление указанными гражданами документов для выезда на постоянное место жительства в
другие государства;
г) выявление в результате проведения проверочных мероприятий действий гражданина,
создающих угрозу безопасности Российской Федерации;
д) уклонение гражданина от проверочных мероприятий и (или) сообщение заведомо ложных
анкетных данных.
13. Решение о допуске к государственной тайне принимается:
а) в отношении граждан, пребывающих в запасе и подлежащих призыву на военную службу
по мобилизации или на военные сборы, - военным комиссаром;
б) в отношении руководителей государственных органов и государственных организаций теми, кем они были назначены на соответствующие должности;
в) в отношении руководителей негосударственных организаций - руководителем
организации-заказчика работ с использованием сведений, составляющих государственную тайну.
14. Оформление допуска к государственной тайне указанным в подпунктах "б" и "в" пункта 13
настоящей Инструкции должностным лицам осуществляется организацией, должностное лицо
которой принимает решение о допуске к государственной тайне. В организацию, руководителю
которой оформлен допуск к государственной тайне, направляется письмо, заверенное печатью
298
организации, оформлявшей допуск к государственной тайне, в котором указываются дата
окончания проверочных мероприятий, форма и номер допуска к государственной тайне,
наименование органа безопасности, проводившего проверочные мероприятия, и дата принятия
решения о допуске к государственной тайне.
15. Допуск гражданина к государственной тайне может быть прекращен по решению
должностного лица, принявшего решение о его допуске к государственной тайне, в случае:
а) расторжения с ним трудового договора (контракта) в связи с проведением
организационных и (или) штатных мероприятий;
б) однократного нарушения им обязательств, связанных с защитой государственной тайны;
в) возникновения обстоятельств, являющихся в соответствии с пунктом 12 настоящей
Инструкции основанием для отказа гражданину в допуске к государственной тайне.
16. Решение о прекращении допуска к государственной тайне может быть обжаловано
гражданином в вышестоящую организацию или в суд.
17. Прекращение допуска к государственной тайне не освобождает гражданина от ранее
взятых им обязательств по неразглашению сведений, составляющих государственную тайну.
18. Руководители организаций несут персональную ответственность за подбор граждан,
допускаемых к государственной тайне.
II. Порядок оформления допуска к государственной тайне
19. Перечень должностей, при назначении на которые гражданам оформляется допуск к
государственной тайне, определяется номенклатурой должностей работников, подлежащих
оформлению на допуск к государственной тайне (форма 3) (далее - номенклатура должностей).
20. Номенклатура должностей разрабатывается режимно-секретным подразделением
организации (далее - режимно-секретное подразделение) и подписывается его руководителем.
21. В номенклатуру должностей включаются только те должности, по которым допуск
работников к государственной тайне действительно необходим для выполнения ими должностных
(специальных, функциональных) обязанностей, в том числе должности работников, допуск которых
к государственной тайне обусловлен направлением их в другие организации для выполнения
работ с использованием сведений, составляющих государственную тайну. Количество работников,
допускаемых к сведениям, составляющим государственную тайну, в организациях должно быть
максимально ограничено.
22. Номенклатура должностей в 2 экземплярах направляется организацией, территориально
обособленным подразделением на согласование в орган безопасности по месту их расположения.
В сопроводительном письме о направлении номенклатуры должностей на согласование в
орган безопасности указываются:
а) сведения о лицензии на проведение работ с использованием сведений, составляющих
государственную тайну: дата выдачи, наименование органа безопасности, выдавшего лицензию,
срок ее действия и номер (кроме организаций, не подлежащих лицензированию);
б) сведения о согласовании предыдущей номенклатуры должностей: дата согласования,
наименование органа безопасности, согласовавшего номенклатуру должностей;
в) количество должностей, предусматривавшихся в предыдущей номенклатуре должностей
для оформления допуска к государственной тайне по первой, второй и третьей формам, причины
увеличения или снижения количества указанных должностей в новой номенклатуре должностей.
23. После согласования с органом безопасности номенклатура должностей утверждается:
в государственных органах, в органах местного самоуправления -руководителями органов
или уполномоченными ими должностными лицами;
в организациях - руководителями организаций.
24. Номенклатура должностей хранится в режимно-секретном подразделении.
25. Изменения в номенклатуру должностей вносятся по мере необходимости в порядке,
установленном для подготовки номенклатуры должностей.
Номенклатура должностей переутверждается в порядке, установленном для ее подготовки,
не реже 1 раза в 5 лет.
26. Форма допуска гражданина к государственной тайне должна соответствовать форме
допуска, предусмотренной номенклатурой должностей.
Снижение формы допуска гражданина к государственной тайне оформляется решением
должностного лица, принявшего решение о его допуске, о чем проставляется соответствующая
отметка в позиции 8 карточки (форма 1). В случае необходимости должностное лицо, ранее
снизившее гражданину, постоянно работающему в организации, форму допуска к государственной
тайне, может восстановить ее без проведения проверочных мероприятий органами безопасности.
В случае изменения формы допуска граждан к государственной тайне в орган безопасности,
осуществляющий проверочные мероприятия, в месячный срок направляется соответствующее
уведомление, в котором указываются фамилии, имена, отчества граждан (в алфавитном порядке),
299
даты и места их рождения, номера и формы допусков к государственной тайне, даты окончания
проведения органами безопасности проверочных мероприятий.
27. Подготовка материалов для оформления допуска граждан к государственной тайне
осуществляется кадровыми подразделениями (работниками, ведущими кадровую работу)
организации (далее - кадровые подразделения).
Направлять граждан в режимно-секретные подразделения и органы безопасности по
вопросам, связанным с оформлением допуска к государственной тайне, запрещается.
28. Граждане, которым оформляется допуск к государственной тайне, представляют
собственноручно заполненную анкету (форма 4), документы, удостоверяющие личность и
подтверждающие сведения, указанные в анкете (паспорт, военный билет, трудовую книжку,
свидетельство о рождении, свидетельство о заключении (расторжении) брака, диплом об
образовании и т.п.), а также справку об отсутствии медицинских противопоказаний для работы со
сведениями, составляющими государственную тайну. Форму и порядок получения справки
устанавливает федеральный орган исполнительной власти, уполномоченный в области
здравоохранения и социального развития.
29. Работники кадрового подразделения:
а) знакомят гражданина, оформляемого на допуск к государственной тайне, с нормами
законодательства Российской Федерации о государственной тайне, предусматривающими
ответственность за его нарушение;
б) сверяют сведения, указанные гражданином в анкете, со сведениями, содержащимися в
представленных документах;
в) уточняют при необходимости отдельные сведения, указанные в анкете;
г) доводят до гражданина, оформляемого на допуск к государственной тайне, обязательства
перед государством о соблюдении требований законодательства Российской Федерации о
государственной тайне.
30. Анкета гражданина, которому оформляется допуск к государственной тайне,
подписывается работником кадрового подразделения и заверяется печатью организации или
кадрового подразделения.
31. Режимно-секретное подразделение:
а) разрабатывает рекомендации для кадрового подразделения по порядку оформления на
работу (службу) граждан на должности, предусматривающие работу со сведениями,
составляющими государственную тайну;
б) запрашивает карточки (форма 1) в режимно-секретных подразделениях тех организаций, в
которых оформляемые на работу (службу) граждане работали (служили) в течение последних 5
лет;
в) анализирует материалы, представляемые кадровым подразделением и полученные от
режимно-секретных подразделений с прежних мест работы (службы) граждан, оформляемых на
работу (службу), на предмет выявления наличия возможных оснований для отказа гражданину в
оформлении допуска к государственной тайне;
г) оформляет, учитывает и хранит карточки (форма 1), копии трудового договора (контракта)
и расписки, содержащие обязательства граждан по соблюдению требований законодательства
Российской Федерации о государственной тайне (форма 2);
д) осуществляет контроль за исполнением установленных требований по допуску граждан к
государственной тайне;
е) осуществляет учет предписаний на выполнение задания (форма 5) и справок о
соответствующей форме допуска (формы 6 - 8);
ж) проводит инструктаж граждан, допускаемых к государственной тайне.
32. В случае отсутствия в организации режимно-секретного подразделения или работника,
исполняющего функции режимно-секретного подразделения, оформление допусков к
государственной тайне осуществляется режимно-секретным подразделением организации,
которая оказывает данной организации услуги по защите государственной тайны.
33. На каждого гражданина, которому оформляется допуск к государственной тайне с
проведением
органами
безопасности
проверочных
мероприятий,
режимно-секретное
подразделение направляет в орган безопасности следующие документы:
а) письмо с обоснованием необходимости оформления гражданину допуска к
государственной тайне, в котором указываются:
должность, на которую оформляется гражданин, ее порядковый номер в номенклатуре
должностей, дата и номер согласования номенклатуры должностей, количество работников,
подлежащих оформлению на допуск к государственной тайне и допущенных к государственной
тайне по указанной должности. При оформлении допуска руководителю режимно-секретного
подразделения и руководителю организации, впервые допускающейся к работам с
использованием сведений, составляющих государственную тайну (в случае, если в организации
отсутствует номенклатура должностей), кратко отражается характер документов или выполняемых
300
работ и степень их секретности со ссылкой на пункты развернутых перечней сведений,
подлежащих засекречиванию;
форма и номер ранее имевшегося у гражданина допуска к государственной тайне, дата
окончания проведения проверочных мероприятий и наименование органа безопасности, который
их проводил, причина переоформления допуска к государственной тайне (в случае
переоформления допуска к государственной тайне);
отсутствие медицинских противопоказаний для работы со сведениями, составляющими
государственную тайну;
обоснование принятия руководителем организации решения об оформлении допуска к
государственной тайне гражданину, в отношении которого имеются основания для отказа в
допуске к государственной тайне (в этом случае письмо подписывается руководителем
организации);
б) анкета (форма 4), заполненная гражданином не ранее чем за месяц до направления
материалов в орган безопасности (кроме этого, в орган безопасности по установленной им форме
направляются анкетные данные гражданина в электронном виде);
в) карточка (форма 1), зарегистрированная в журнале учета карточек на допуск граждан к
государственной тайне (форма 9);
г) учетная карточка на допуск к государственной тайне (форма 10) (количество экземпляров
согласовывается с органом безопасности, проводящим проверочные мероприятия);
д) списки на оформляемого гражданина и его родственников (форма 11) (количество
экземпляров согласовывается с органом безопасности, проводящим проверочные мероприятия).
34. Органы безопасности могут запрашивать в организациях дополнительные документы,
необходимые для проведения проверочных мероприятий.
Документы, не соответствующие требованиям настоящей Инструкции, возвращаются
органом безопасности для доработки.
35. Одновременное направление в органы безопасности документов для оформления
допуска к государственной тайне на нескольких лиц, рассматриваемых на замещение одной
должности, не допускается, кроме случая проведения конкурса на замещение вакантной
должности, предусмотренного законодательством Российской Федерации.
Организация, проводящая конкурс, в установленном порядке направляет в орган
безопасности документы на всех кандидатов, допущенных к участию в конкурсе. Результаты
проверочных мероприятий орган безопасности сообщает руководителю организации, проводящей
конкурс. После проведения конкурса по соответствующему запросу орган безопасности высылает
карточку (форма 1) на гражданина, выигравшего конкурс.
36. Карточки (форма 1) хранятся в режимно-секретном подразделении вместе с копиями
трудового договора (контракта) или расписками, содержащими обязательства граждан по
соблюдению требований законодательства Российской Федерации о государственной тайне
(форма 2).
37. На граждан, которым оформляется допуск к государственной тайне по третьей форме
без проведения органами безопасности проверочных мероприятий, оформляется карточка (форма
1), которая регистрируется в журнале учета карточек на допуск граждан к государственной тайне
(форма 9) отдельно от карточек (форма 1), оформленных на граждан, допущенных к
государственной тайне с проведением органами безопасности проверочных мероприятий.
38. Карточка (форма 1) с отметкой органа безопасности о проведении проверочных
мероприятий и номером допуска к государственной тайне возвращается в организацию.
39. Решение о допуске гражданина к государственной тайне оформляется записью в позиции
8 карточки (форма 1), которая заверяется подписью руководителя организации или
уполномоченного им должностного лица и печатью организации.
При оформлении карточки (форма 1) лицам, замещающим должности, включенные в
перечень должностей, при замещении которых граждане считаются допущенными к
государственной тайне, в позиции 8 производится запись с указанием номера и даты акта
Президента Российской Федерации об утверждении данного перечня.
40. При оформлении допуска к государственной тайне судьям на период исполнения ими
своих полномочий режимно-секретное подразделение оформляет карточку (форма 1), в позиции 7
которой делается отметка "В соответствии со статьей 21.1 Закона Российской Федерации "О
государственной тайне" проверочные мероприятия не проводились". Указанная запись
удостоверяется подписью руководителя режимно-секретного подразделения и печатью
организации. После оформления допуска к государственной тайне в орган безопасности
направляется учетная карточка на допуск к государственной тайне (форма 10), на обороте которой
указываются номер и дата оформления допуска к государственной тайне.
При оформлении допуска к государственной тайне адвокатам, участвующим в качестве
защитников в судопроизводстве по уголовным делам, связанным со сведениями, составляющими
государственную тайну, карточка (форма 1) не заводится и номер допуска к государственной тайне
301
не присваивается. Решение о допуске адвоката к государственной тайне оформляется записью в
материалах соответствующего дела, которая заверяется подписью должностного лица,
наделенного соответствующими полномочиями, и печатью организации. Расписка адвоката
приобщается к материалам данного дела. После оформления допуска к государственной тайне в
органы безопасности по месту регистрации адвоката и по месту оформления указанного допуска
направляется учетная карточка на допуск к государственной тайне (форма 10), на обороте которой
указываются дата оформления допуска к государственной тайне, организация, в которой
оформлен допуск к государственной тайне, должностное лицо, которое приняло решение о
допуске к государственной тайне, а также номер дела, к которому адвокат получил доступ.
41. На гражданина, которому оформляется допуск к государственной тайне, заводится одна
карточка (форма 1). При переходе гражданина на работу (службу) в другую организацию указанная
карточка по письменному запросу режимно-секретного подразделения соответствующей
организации пересылается по новому месту работы (службы).
Новая карточка (форма 1) заводится только в случае, если ранее заведенная карточка была
уничтожена в соответствии с пунктом 47 настоящей Инструкции.
Карточка (форма 1), оформленная на гражданина, допущенного к государственной тайне по
третьей форме без проведения органами безопасности проверочных мероприятий, в другие
организации не пересылается.
42. При отсутствии в позициях карточки (форма 1) места для соответствующих записей в
установленном порядке заполняется новый бланк карточки (форма 1), который учитывается как
дополнительный лист к имеющейся карточке (форма 1). При этом на новом бланке указывается
номер листа, а в графе "Примечание" журнала учета карточек на допуск граждан к
государственной тайне (форма 9) - количество листов в карточке (форма 1).
Организация, оформившая допуск к государственной тайне гражданам, состоящим на
воинском учете, направляет в соответствующие военные комиссариаты по их запросам
уведомления о форме допуска к государственной тайне, его номере, дате окончания проведения
проверочных мероприятий, наименовании органа безопасности, проводившего проверочные
мероприятия, а также сведения о фактах переоформления или прекращения допуска к
государственной тайне.
43. Если в течение 6 месяцев после проведения проверочных мероприятий не было принято
решение о допуске гражданина к государственной тайне, отметка о проведении проверочных
мероприятий органами безопасности в карточке (форма 1) становится недействительной.
В этом случае в орган безопасности, проводивший проверочные мероприятия, в месячный
срок направляется соответствующее уведомление, в котором указываются фамилия, имя,
отчество гражданина, дата и место его рождения, номер и форма допуска к государственной
тайне, дата окончания проведения проверочных мероприятий. В случае включения в указанный
список нескольких граждан их фамилии указываются в алфавитном порядке.
44. В отношении граждан, которые переведены на должности, не предусматривающие
наличие допуска к государственной тайне, уволились из организации, в том числе при
расторжении трудового договора (контракта) в связи с проведением организационных и (или)
штатных мероприятий, закончили обучение в учебном заведении и т.п. и на которых в течение 6
месяцев не затребованы карточки (форма 1), действие допуска прекращается.
45. Решение о прекращении допуска гражданина к государственной тайне оформляется
записью в позиции 8 карточки (форма 1), которая заверяется подписью соответствующего
должностного лица и печатью организации.
46. При прекращении допуска граждан к государственной тайне в случаях, предусмотренных
пунктом 44 настоящей Инструкции, в орган безопасности по месту расположения организации в
месячный срок направляется уведомление о прекращении допуска к государственной тайне, в
котором указываются фамилии, имена, отчества граждан (в алфавитном порядке), даты и места их
рождения, номера и формы допусков, даты окончания проведения проверочных мероприятий.
Уведомления о прекращении допусков по третьей форме, оформленных без проведения органами
безопасности проверочных мероприятий, в органы безопасности не направляются.
При прекращении допуска граждан к государственной тайне в случаях, предусмотренных
подпунктами "б" и "в" пункта 15 настоящей Инструкции, проставляется соответствующая отметка в
позиции 10 карточки (форма 1), а в орган безопасности по месту расположения организации в 10дневный срок направляется соответствующее уведомление.
47. После прекращения допуска к государственной тайне копия трудового договора
(контракта) или расписка, содержащая обязательства гражданина по соблюдению требований
законодательства Российской Федерации о государственной тайне (форма 2), и карточка (форма
1) хранятся в режимно-секретном подразделении до истечения срока наложения ограничений на
права гражданина, но не менее 5 лет, после чего уничтожаются в установленном порядке.
48. В случае получения из органа безопасности уведомления о возникновении
обстоятельств, которые в соответствии с подпунктами "б" и "в" пункта 15 настоящей Инструкции
302
могут послужить основанием для прекращения гражданину допуска к государственной тайне,
соответствующие должностные лица принимают решение о возможности или невозможности
дальнейшей работы гражданина со сведениями, составляющими государственную тайну, о чем
информируют орган безопасности. До принятия такого решения гражданин отстраняется от работы
со сведениями, составляющими государственную тайну.
III. Особенности оформления допуска к государственной тайне
при работе по совместительству
49. При необходимости оформления гражданину, имеющему допуск к государственной
тайне, такого же допуска для работы по совместительству в другой организации (в том числе и в
качестве арбитражного управляющего) по соответствующему запросу изготавливается дубликат
карточки (форма 1), который направляется в запрашивающую организацию. Дубликат карточки
(форма 1) изготавливается режимно-секретным подразделением запрашиваемой организации на
бланке карточки (форма 1), имеющем отметку "Дубликат", путем перенесения всех указанных в
карточке (форма 1) гражданина записей и учитывается как очередной лист карточки (форма 1), при
этом запись о проведении проверочных мероприятий органами безопасности заверяется
подписью руководителя этого режимно-секретного подразделения и печатью запрашиваемой
организации. В графе "Примечание" журнала учета карточек на допуск граждан к государственной
тайне (форма 9) и в позиции 6 карточки (форма 1) делается отметка "Дубликат. Лист N ____
направлен" и указывается наименование и адрес организации, в которую направлен указанный
дубликат.
Режимно-секретное подразделение, изготовившее дубликат карточки (форма 1), в месячный
срок направляет в орган безопасности по месту расположения своей организации уведомление, в
котором указывает адрес и наименование организации, в которую направлен дубликат карточки
(форма 1).
Дубликаты карточек (форма 1) учитываются в порядке, установленном для учета карточек
(форма 1).
С карточек (форма 1), оформленных на граждан, получивших допуск к государственной
тайне без проведения органами безопасности проверочных мероприятий, и с дубликатов карточек
(форма 1) дубликаты не оформляются.
50. Организация, в которой гражданин работает по совместительству, получив дубликат
карточки (форма 1), в установленном порядке оформляет гражданину допуск к государственной
тайне и в месячный срок направляет в орган безопасности по месту своего расположения
уведомление с приложением учетной карточки на допуск к государственной тайне (форма 10), на
обороте которой указываются форма и номер допуска к государственной тайне, дата окончания
проведения проверочных мероприятий, наименование органа безопасности, проводившего
проверочные мероприятия, а также дата решения о допуске гражданина к государственной тайне.
При необходимости переоформления допуска к государственной тайне гражданину в
организации, в которой он работает по совместительству, режимно-секретным подразделением
указанной организации запрашивается по постоянному месту работы карточка (форма 1), которая
после переоформления допуска к государственной тайне возвращается одновременно с запросом
о направлении ее дубликата. При этом организацией, в которой гражданин работает постоянно и
где хранится карточка (форма 1), в установленном порядке оформляется новое решение о допуске
гражданина к государственной тайне, а в орган безопасности по месту расположения этой
организации направляется уведомление с приложением учетной карточки на допуск к
государственной тайне (форма 10), на обороте которой указываются форма и номер допуска к
государственной тайне, дата окончания проведения проверочных мероприятий, наименование
органа безопасности, проводившего проверочные мероприятия, дата решения о допуске
гражданина к государственной тайне, а также адрес и наименование организации, в которую
направлен дубликат карточки (форма 1).
51. При прекращении в организации, где хранится дубликат карточки (форма 1), допуска к
государственной тайне в случаях, предусмотренных подпунктами "б" и "в" пункта 15 настоящей
Инструкции, в организацию, где хранится карточка (форма 1), направляется уведомление, в
котором указываются основания принятия такого решения с приложением дубликата карточки
(форма 1), в позиции 10 которой делается соответствующая отметка. Копия уведомления,
направляемого в соответствии с пунктом 46 настоящей Инструкции, дополнительно направляется
в орган безопасности по месту расположения организации, где хранится карточка (форма 1).
При прекращении в организации, где хранится карточка (форма 1), допуска к
государственной тайне в случаях, предусмотренных подпунктами "б" и "в" пункта 15 настоящей
Инструкции, в организацию, где хранится дубликат карточки (форма 1), направляется
уведомление, в котором указываются основания принятия такого решения с приложением
карточки (форма 1), в позиции 10 которой делается соответствующая отметка. Копия
303
уведомления, направляемого в соответствии с пунктом 46 настоящей Инструкции, дополнительно
направляется в орган безопасности по месту расположения организации, где хранится дубликат
карточки (форма 1).
52. В отношении граждан, работающих в организации, где хранится дубликат карточки
(форма 1), которые переведены в указанной организации на должность, не предусматривающую
наличие допуска к государственной тайне, уволились из организации, в том числе при
расторжении трудового договора (контракта) в связи с проведением организационных и (или)
штатных мероприятий, закончили обучение в учебном заведении и т.п., действие допуска
прекращается и дубликат карточки (форма 1) возвращается в организацию, где хранится карточка
(форма 1).
В отношении граждан, работающих в организации, где хранится карточка (форма 1), которые
переведены в указанной организации на должность, не предусматривающую наличие допуска к
государственной тайне, уволились из организации, в том числе при расторжении трудового
договора (контракта) в связи с проведением организационных и (или) штатных мероприятий,
закончили обучение в учебном заведении и т.п., действие допуска прекращается и карточка
(форма 1) направляется в организацию, где хранится дубликат карточки (форма 1).
53. В случаях, предусмотренных пунктами 51 и 52 настоящей Инструкции, дубликаты
карточки (форма 1) приобщаются к карточке (форма 1). При этом в графе "Примечание" журнала
учета карточек на допуск граждан к государственной тайне (форма 9) и позиции 6 карточки (форма
1) делается отметка "Дубликат. Лист N ____ приобщен к карточке".
54. Гражданам, допущенным к государственной тайне в организации, в которой они работают
по совместительству, запрещается использование сведений, составляющих государственную
тайну, полученных в организации по основному месту работы.
Указанные сведения могут быть переданы в организацию, в которой граждане работают по
совместительству, в установленном порядке.
IV. Особенности оформления руководителям и членам
саморегулируемых организаций арбитражных управляющих
допуска к государственной тайне
55. Решение о допуске руководителя саморегулируемой организации арбитражных
управляющих (далее - саморегулируемая организация) к государственной тайне принимается
руководителем федерального органа исполнительной власти, уполномоченного осуществлять
функции по контролю (надзору) за деятельностью арбитражных управляющих и
саморегулируемых организаций арбитражных управляющих (далее - уполномоченный орган по
контролю (надзору)).
Решение о допуске арбитражного управляющего к государственной тайне принимается
руководителем соответствующего территориального органа уполномоченного органа по контролю
(надзору).
56. Список членов саморегулируемой организации, подлежащих оформлению на допуск к
государственной тайне (форма 12), утверждается руководителем территориального органа
уполномоченного
органа
по
контролю
(надзору)
по
представлению
руководителя
саморегулируемой организации.
Согласование этого списка с органом безопасности осуществляется соответствующим
подразделением по защите государственной тайны территориального органа уполномоченного
органа по контролю (надзору) по представлению руководителя саморегулируемой организации.
Указанный список направляется руководителем саморегулируемой организации в
территориальный орган уполномоченного органа по контролю (надзору) в 2 экземплярах, один из
которых затем направляется в уполномоченный орган по контролю (надзору).
57. Арбитражный управляющий, получивший допуск к государственной тайне, в недельный
срок со дня вынесения определения арбитражного суда о его утверждении арбитражным
управляющим предоставляет копию определения суда в уполномоченный орган по контролю
(надзору) (его территориальный орган).
Доступ арбитражного управляющего к сведениям, составляющим государственную тайну,
осуществляется в установленном порядке со дня вынесения арбитражным судом указанного
определения.
58. Обязательства арбитражного управляющего (руководителя саморегулируемой
организации) перед государством по соблюдению требований законодательства Российской
Федерации о государственной тайне оформляются в виде расписки.
59. Функции кадрового подразделения по оформлению допуска арбитражного управляющего
(руководителя саморегулируемой организации) к государственной тайне выполняют кадровые
подразделения территориальных органов уполномоченного органа по контролю (надзору).
304
V. Переоформление допуска к государственной тайне
60. Переоформление допуска к государственной тайне по первой форме производится через
10 лет, по второй и третьей (с проведением органами безопасности проверочных мероприятий)
формам производится через 15 лет с даты окончания проведения проверочных мероприятий
органами безопасности в случае перехода указанных граждан на другое место работы (службы).
Переоформление допуска к государственной тайне граждан, постоянно работающих в
организации, оформившей им данный допуск, не производится.
61. Переоформление допуска к государственной тайне по первой, второй и третьей (с
проведением органами безопасности проверочных мероприятий) формам независимо от срока
действия производится в следующих случаях:
а) прием гражданина на работу (службу), назначение на должность в структурные
подразделения по защите государственной тайны, за исключением случая перевода гражданина
из одного структурного подразделения по защите государственной тайны в другое в рамках одной
организации;
б) вступление гражданина в брак, кроме случая, предусмотренного пунктом 63 настоящей
Инструкции;
в) возвращение из длительной, свыше 6 месяцев, заграничной командировки;
г) возникновение обстоятельств, влияющих в соответствии с пунктом 12 настоящей
Инструкции на принятие решения о допуске к государственной тайне;
д) прием на работу (службу) гражданина, который ранее относился к одной из категорий
граждан, указанных в пункте 11 настоящей Инструкции;
е) прием на работу (службу) гражданина, у которого в карточке (форма 1) в позиции 7
проставлена особая отметка органа безопасности;
ж) прием на работу (службу) гражданина, пребывающего в запасе, если с даты принятия
военным комиссаром решения о его допуске к государственной тайне прошло более 6 месяцев;
з) призыв гражданина, пребывающего в запасе, карточка (форма 1) которого хранится в
военном комиссариате, для прохождения плановых военных сборов на воинских должностях,
замещение которых предусматривает работу со сведениями, составляющими государственную
тайну, если с даты принятия военным комиссаром решения о его допуске к государственной тайне
прошло более 6 месяцев;
и) прием на работу (службу) гражданина, у которого в карточке (форма 1) в позиции 10
имеется отметка о нарушениях режима секретности и (или) наличии оснований для отказа в
допуске к государственной тайне.
62. При переоформлении допуска к государственной тайне в органы безопасности
направляются документы, указанные в пункте 33 настоящей Инструкции.
63. Допуск к государственной тайне не переоформляется в следующих случаях:
вступление гражданина в брак с лицом, имеющим допуск к государственной тайне,
оформленный с проведением органами безопасности проверочных мероприятий;
смена гражданином фамилии, имени или отчества в случаях, предусмотренных
законодательством Российской Федерации.
Режимно-секретное подразделение вносит соответствующие изменения в карточку (форма
1) и в месячный срок направляет в орган безопасности соответствующее уведомление, в котором
указываются фамилии, имена, отчества граждан (в алфавитном порядке), даты и места их
рождения, номера и формы допусков, даты окончания проведения органами безопасности
проверочных мероприятий с приложением учетной карточки на допуск к государственной тайне
(форма 10).
64. Режимно-секретное подразделение, получив карточку (форма 1) с прежнего места
работы гражданина, определяет необходимость переоформления ему допуска к государственной
тайне и докладывает об этом руководителю организации.
Если переоформления допуска к государственной тайне не требуется, гражданин в
установленном порядке допускается к государственной тайне и назначается на должность, а
режимно-секретное подразделение не позднее чем через месяц направляет в орган безопасности
уведомление с приложением учетной карточки на допуск к государственной тайне (форма 10), на
обороте которой указываются форма и номер допуска к государственной тайне, дата окончания
проведения органами безопасности проверочных мероприятий, наименование органа
безопасности, проводившего проверочные мероприятия, а также дата решения о допуске
гражданина к государственной тайне.
65. Кадровое подразделение обязано в 10-дневный срок информировать режимно-секретное
подразделение обо всех изменениях в биографических данных гражданина, допущенного к
государственной тайне, для решения вопроса о целесообразности переоформления ему допуска к
государственной тайне и внесения соответствующих изменений в карточку (форма 1).
305
VI. Порядок доступа к сведениям, составляющим
государственную тайну, граждан при их командировании
в другие организации
66. Доступ граждан к сведениям, составляющим государственную тайну, в организациях, в
которые они командируются, осуществляется после предъявления ими предписаний на
выполнение задания (форма 5), документов, удостоверяющих личность, и справок о допуске по
соответствующей форме (формы 6 - 8).
Сотрудникам органов безопасности, осуществляющим по роду службы взаимодействие с
организациями в работе по защите государственной тайны, право доступа к сведениям,
составляющим государственную тайну, предоставляется по предъявлении служебного
удостоверения и справок о допуске по соответствующей форме (формы 6 - 8).
67. Гражданам, командируемым для выполнения заданий, связанных с доступом к
государственной тайне, выдаются:
для имеющих допуск к сведениям особой важности - справка о допуске по первой форме
(форма 6), в которой после буквенного индекса "А" указываются номер допуска к государственной
тайне и дата окончания проведения органами безопасности проверочных мероприятий;
для имеющих допуск к совершенно секретным сведениям - справка о допуске по второй
форме (форма 7), в которой после буквенного индекса "Б" указываются номер допуска к
государственной тайне и дата окончания проведения органами безопасности проверочных
мероприятий;
для имеющих допуск к секретным сведениям - справка о допуске по третьей форме (форма
8), в которой после буквенного индекса "Д" указываются номер допуска к государственной тайне и
дата окончания проведения органами безопасности проверочных мероприятий.
В случае если допуск к государственной тайне оформлен без проведения органами
безопасности проверочных мероприятий в соответствующих справках о допуске дата окончания
проведения проверочных мероприятий не указывается.
В случае отсутствия в организации режимно-секретного подразделения или работника,
исполняющего функции режимно-секретного подразделения, справка о допуске (формы 6 - 8)
выдается
командированному
лицу
режимно-секретным
подразделением
организации,
оказывающей услуги в области защиты государственной тайны. При этом в справке (формы 6 - 8)
указываются сведения о соответствующей лицензии организации, выдавшей справку.
68. Справка о допуске по соответствующей форме (формы 6 - 8) подписывается
руководителем режимно-секретного подразделения и заверяется печатью организации. Указанная
справка регистрируется в журнале учета выдачи справок о допуске (форма 13) и выдается
командируемому на время разовой командировки или на период выполнения задания, но не более
чем на год, под расписку. По окончании срока действия справка возвращается по месту ее выдачи,
подшивается в отдельное дело и хранится не менее 5 лет. Журнал учета выдачи справок о
допуске (форма 13) после его закрытия в установленном порядке хранится в режимно-секретном
подразделении не менее 5 лет.
69. Требовать от командированного гражданина, прибывшего в организацию для выполнения
задания, не связанного с работами со сведениями, составляющими государственную тайну,
справку о допуске по соответствующей форме (формы 6 - 8) запрещается. Исключение составляют
случаи, когда командированный гражданин при выполнении задания неизбежно будет иметь
доступ к сведениям, составляющим государственную тайну.
70. Предписание на выполнение задания (форма 5) подписывается руководителем
организации, а в органах государственной власти - должностным лицом, уполномоченным
руководителем соответствующего органа, заверяется печатью организации (органа) и
регистрируется в журнале учета выдачи предписаний на выполнение заданий (форма 14).
В предписании на выполнение задания (форма 5) указывается основание для
командирования (номер и дата постановления, решения, договора, совместного плана научноисследовательских и опытно-конструкторских работ и т.п.).
Предписание на выполнение задания (форма 5), в котором содержатся сведения,
составляющие государственную тайну, пересылается в установленном порядке.
Предписание на выполнение задания (форма 5) выдается для посещения только одной
организации.
71. Командированный гражданин может иметь доступ в присутствии работников
принимающей организации, ответственных за прием командированных лиц, только к тем
сведениям, составляющим государственную тайну, которые ему необходимы для выполнения
задания, указанного в предписании на выполнение задания (форма 5).
Доступ командированных граждан к сведениям, составляющим государственную тайну,
осуществляется по письменному разрешению руководителя принимающей организации, а в
органах государственной власти - должностного лица, уполномоченного руководителем
306
соответствующего органа. Разрешение оформляется на предписании на выполнение задания
(форма 5) с указанием конкретных носителей сведений, составляющих государственную тайну, с
которыми можно ознакомить командированного гражданина.
72. Предписание на выполнение задания (форма 5) и справка о допуске по соответствующей
форме (формы 6 - 8) регистрируются в журнале учета командированных (форма 15). После
регистрации справка о допуске по соответствующей форме (формы 6 - 8) остается в режимносекретном подразделении принимающей организации, а предписание на выполнение задания
(форма 5) с отметкой о форме допуска командированного гражданина передается принимающему
его должностному лицу. Указанное должностное лицо заполняет на оборотной стороне
предписания на выполнение задания (форма 5) справку, после чего данное предписание
передается в режимно-секретное подразделение принимающей организации, где хранится в
отдельном деле не менее 5 лет. Справка о допуске по соответствующей форме (формы 6 - 8)
возвращается командированному гражданину для сдачи в выдавшее ее режимно-секретное
подразделение. На обороте справки о допуске по соответствующей форме (формы 6 - 8) делается
запись с указанием степени секретности сведений, с которыми ознакомился командированный
гражданин, и даты ознакомления, которая заверяется подписью руководителя режимно-секретного
подразделения принимающей организации и печатью этой организации.
Указанные в справке о допуске по соответствующей форме (формы 6 - 8) данные об
ознакомлении гражданина со сведениями, составляющими государственную тайну, переносятся в
карточку учета осведомленности в сведениях, составляющих государственную тайну.
307
Приложение
к Инструкции о порядке
допуска должностных лиц
и граждан Российской Федерации
к государственной тайне
ФОРМЫ УЧЕТНОЙ ДОКУМЕНТАЦИИ
Форма 1
│
КАРТОЧКА
1. _________________________________│______________________________________
(фамилия, имя, отчество)
│
┌──────────────────┐
2. _________________________________│
│
│
(дата и место рождения)
│
│
Место
│
____________________________________│
│
для
│
3. Сведения о наличии загранпаспорта│
│
фотографии
│
____________________________________│
│ (4 см x 6 см)
│
4. Образование _____________________│
│
│
(наименование
│
└──────────────────┘
____________________________________│______________________________________
учебного заведения, когда окончил) │ (учетный номер карточки по журналу)
5. Домашний адрес __________________│М.П.
____________________________________│Фотография ___________________________
6. Дополнительные отметки __________│
(фамилия и инициалы)
____________________________________│и данные,
указанные
в
карточке,
____________________________________│удостоверяются.
│Руководитель
режимно-секретного
│подразделения
│______________________________________
│
(подпись)
│"__" _____________ 20__ г.
│
___________________________________________________________________________
10. Сведения о нарушениях режима секретности и наличии оснований для
отказа в допуске __________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
11. Родственники (муж (жена), в т.ч. бывшие, отец, мать, усыновители,
усыновленные, полнородные и неполнородные (имеющие общих отца или мать)
308
братья и сестры, дети старше 14 лет).
N
п/п
Фамилия, имя, отчество
Степень
родства
Дата
рождения
Примечание
7. Данные о проведении проверочных 8. Распоряжение о допуске:
мероприятий органами безопасности.
Допустить ____________________________
( фамилия и инициалы)
Проверка по ____ форме произведена. к работам и документам по _____ форме.
Руководитель организации _____________
_____________
( подпись)
(подпись)
"__" ___________ 20__ г.
N ___ "__" _________ 20__ г.
М.П.
М.П.
Прекратить допуск ____________________
( фамилия и
Особые отметки
инициалы)
____________________________________ Руководитель организации _____________
____________________________________
( подпись)
М.П.
"__" ___________ 20__ г.
Проверка по ____ форме произведена. М.П.
_____________ Допустить ____________________________
(подпись)
(фамилия и инициалы)
к работам и документам по _____ форме.
N ___ "__" _________ 20__ г.
Руководитель организации _____________
( подпись)
М.П.
"__" ____________ 20__ г.
Особые отметки
М.П.
____________________________________
____________________________________ Прекратить допуск ____________________
М.П.
( фамилия и инициалы)
Руководитель организации _____________
( подпись)
309
"__" ___________ 20__ г.
9. Трудовая деятельность с момента оформления допуска:
N
п/п
Наименование
организации,
юридический
адрес
Занимаемая
должность
(подразделение)
N и дата
приказа о
приеме
N и дата
приказа
об увольнении
Примечание
310
Пояснение. Заполнение карточки от руки не допускается.
Форма 2
Примерное содержание обязательств
граждан перед государством по соблюдению требований
законодательства Российской Федерации
о государственной тайне
Я, _______________________________________________________________________,
(фамилия, имя, отчество)
оформляясь на должность в ________________________________________________,
(наименование организации)
будучи поставлен(а) в известность о том, что по роду своей деятельности
и
обязанностям буду допущен(а) к государственной тайне, добровольно
принимаю на себя обязательства, связанные с допуском к государственной
тайне, на условиях, предусмотренных законодательством Российской Федерации
о государственной тайне.
В соответствии с Законом Российской Федерации "О государственной тайне"
и иными нормативными правовыми актами о государственной тайне, с которыми
меня ознакомили, принимая на себя перед государством обязательства по
неразглашению доверенных мне сведений, составляющих государственную тайну,
даю согласие на частичные, временные ограничения моих прав, которые могут
касаться:
права на выезд из Российской Федерации на срок до 5 лет со дня
последнего
ознакомления
со сведениями особой важности и совершенно
секретными сведениями;
права на распространение сведений, составляющих государственную тайну,
и
на
использование
открытий
и
изобретений, содержащих сведения,
составляющие государственную тайну;
права на неприкосновенность частной жизни при проведении проверочных
мероприятий в период оформления (переоформления) допуска к государственной
тайне.
Принимаю на себя обязательства:
соблюдать
требования
законодательства
Российской
Федерации
о
государственной тайне;
в случае принятия решения о временном ограничении моего права на выезд
из Российской Федерации в 5-дневный срок передать имеющийся заграничный
паспорт на хранение в _____________________________________________________
(наименование организации)
до истечения установленного срока ограничения моих прав;
в полном объеме и своевременно информировать кадровое подразделение ___
___________________________________________________________________________
(наименование организации)
об изменениях в анкетных и автобиографических данных и о возникновении
оснований для отказа мне в допуске к государственной тайне, предусмотренных
Законом Российской Федерации "О государственной тайне";
представлять в установленном порядке в кадровое подразделение _________
___________________________________________________________________________
(наименование организации)
документы
об
отсутствии
медицинских
противопоказаний для работы с
использованием
сведений, составляющих государственную тайну, согласно
перечню,
утверждаемому
федеральным
органом
государственной власти,
уполномоченным в области здравоохранения и социального развития;
в
случае попытки посторонних лиц получить информацию секретного
характера немедленно сообщить об этом в режимно-секретное подразделение
___________________________________________________________________________
(наименование организации)
или в органы Федеральной службы безопасности Российской Федерации.
Я предупрежден(а) о том, что в случае даже однократного нарушения мною
принятых на себя обязательств, а также при возникновении обстоятельств,
311
являющихся основанием для отказа мне в допуске к государственной тайне, мой
допуск к государственной тайне может быть прекращен и я буду отстранен(а)
от работы со сведениями, составляющими государственную тайну, а трудовой
договор (контракт) со мной может быть расторгнут.
Мне известно, что в соответствии с Законом Российской Федерации "О
государственной тайне" в случае прекращения допуска к государственной тайне
я не освобождаюсь от взятых обязательств по неразглашению сведений,
составляющих государственную тайну.
Обязуюсь добросовестно выполнять свои обязательства, строго сохранять
доверенные мне сведения, составляющие государственную тайну.
Я
предупрежден(а),
что
за
разглашение
сведений, составляющих
государственную
тайну,
или
утрату носителей сведений, составляющих
государственную тайну, а также за нарушение режима секретности буду
привлечен(а)
к
ответственности
в
соответствии с законодательством
Российской Федерации.
_____________
(подпись)
_____________________________________________________
(инициалы, фамилия)
"__" ____________ 20__ г.
312
Форма 3
УТВЕРЖДАЮ
_________________________
"__" ____________ 20__ г.
НОМЕНКЛАТУРА
должностей работников ______________________________,
(наименование организации)
подлежащих оформлению на допуск к государственной тайне
N
п/п
Подразделение
Количество
работающих
по штату
Должность
Обоснование
необходимости
допуска к
государственной
тайне
1
2
3
4
5
Кол-во лиц,
подлежащих
оформлению
на допуск
к сведениям
ОВ
СС
С
6
7
8
Кол-во лиц,
оформленных
на допуск
к сведениям
ОВ
9
СС
10
С
11
Примечание
12
Руководитель
режимно-секретного
подразделения
__________________
( подпись)
"__" ___________ 20__ г.
313
Пояснения:
1. Порядковые номера должностей указываются в возрастающей последовательности
независимо от структурных подразделений (каждой должности соответствует свой порядковый
номер).
2. В графе 3 проставляется общее количество работающих, предусмотренное штатным
расписанием (отдельно по каждому подразделению и по каждой должности).
3. В графе 5 кратко отражаются функциональные обязанности и (или) характер выполняемых
работ со ссылкой на пункт развернутого перечня сведений, подлежащих засекречиванию. В случае
если пункт развернутого перечня предусматривает разные степени секретности, дополнительно
указывается абзац (графа) данного пункта.
4. По графам 3, 6 - 11 подводится итог по каждому подразделению и в конце номенклатуры по всей организации.
5. В дополнениях к номенклатуре должностей порядковые номера указываются в
возрастающей последовательности, начиная с единицы, независимо от структурных
подразделений.
Форма 4
АНКЕТА
(заполняется собственноручно)
1. Фамилия
Имя
Отчество
┌───────────┐
________________________________________________ │
│
________________________________________________ │
Место
│
________________________________________________ │
для
│
│ фотографии│
│ (4 см x │
│
6 см)
│
└───────────┘
2. Если изменяли фамилию, имя или
отчество, то укажите их, а также
когда, где и по какой причине.
3. Год, число, месяц и место
рождения (село, деревня, город,
район, область, край,
республика).
4. Паспорт (номер, серия, кем и
когда выдан).
5. Имеете ли Вы заграничный паспорт
(номер, серия, кем и когда
выдан).
6. Семейное положение (если
вступали в брак, то укажите,
с кем, когда и где, в случае
развода - когда развелись).
7. Гражданство (если изменяли, то
укажите, когда и по какой
причине, прежнее гражданство,
если имеете гражданство другого
государства - укажите).
8. Образование (когда и какие
учебные заведения окончили,
форма обучения, номера
дипломов, специальность по
диплому).
9. Оформлялся ли Вам ранее
допуск к государственной
тайне (в какой организации,
когда и по какой форме).
314
10. Ходатайствовали ли Вы о выезде
(въезде) на постоянное место
жительство в другое государство
(когда и в какое).
11. Были ли Вы за границей (где,
когда и с какой целью).
12. Были ли Вы и Ваши близкие
родственники судимы (когда
и за что).
13. Отношение к воинской
обязанности и воинское звание,
в каком военном комиссариате
состоите на воинском учете.
14. Выполняемая работа с начала трудовой деятельности (включая учебу в
высших
и
средних
учебных
заведениях,
военную службу, работу по
совместительству, предпринимательскую деятельность и т.п.) <*>.
-------------------------------<*> Военную службу записывать с указанием должности, номера воинской
части
и места ее дислокации (населенный пункт, область). В случае
осуществления предпринимательской деятельности, частной практики и т.п.
необходимо указать номер патента (договора, лицензии), место регистрации.
Наименование
организации пишется полностью с указанием ведомственной
принадлежности, страны регистрации (в случае работы в иностранных и
смешанных фирмах или их представительствах).
Месяц и год
поступления
увольнения
Должность с указанием
наименования
организации
Адрес организации
(фактический,
юридический,
в т.ч. за границей)
15. Ваши родственники: жена (муж), в том числе бывшие, отец, мать,
усыновители, усыновленные, полнородные и неполнородные (имеющие общих отца
или мать) братья и сестры, дети <*>.
Степень
родства
Фамилия, имя
и отчество
Число, месяц, год
и место рождения,
гражданство
Место работы,
должность
Адрес места
жительства, а также
откуда и когда
прибыл <**>
-------------------------------<*> Если родственники изменяли фамилию, имя, отчество, то необходимо
указать их прежние фамилию, имя, отчество.
<**>
Если
родственники проживали на территории одного субъекта
Российской Федерации, сведения о том, откуда и когда они прибыли, не
указываются.
16. Имеются ли у Вас
близкие
родственники,
постоянно проживающие
(проживавшие) за границей (в том числе в связи с работой либо обучением).
Укажите фамилию, имя, отчество, степень родства, период проживания за
границей: _________________________________________________________________
___________________________________________________________________________
17. Места Вашего проживания (в случае переездов - адреса в других
республиках, краях, областях).
Период проживания
Адрес проживания и регистрации
315
18.
Дополнительные
сведения:
государственные
награды,
участие
в
выборных представительных органах, а также другая информация, которую
желаете сообщить о себе: __________________________________________________
___________________________________________________________________________
___________________________________________________________________________
19.
С
обязательствами
по
соблюдению
законодательства
Российской
Федерации о государственной тайне ознакомлен(а).
20. Мне известно, что заведомо ложные сведения, сообщенные в анкете,
могут повлечь отказ в оформлении допуска.
21. На проведение в отношении меня проверочных мероприятий органами
Федеральной службы безопасности Российской Федерации согласен(на).
"__" ____________ 20__ г.
Подпись _________________________
Фотография
и
сведения,
представленным документам.
изложенные
в
анкете,
соответствуют
М.П.
________________
(подпись)
_________________________________
(инициалы, фамилия работника
кадрового подразделения)
"__" _____________ 20__ г.
М.П.
________________
(подпись)
_________________________________
(инициалы, фамилия работника
режимно-секретного
подразделения)
"__" _____________ 20__ г.
Пояснение. В случае отсутствия места для полного ответа прикладываются дополнительные
листы с указанием соответствующих пунктов. После заполнения они заверяются в порядке,
установленном для заверения анкеты.
Форма 5
ПРЕДПИСАНИЕ N ____
на выполнение задания
Штамп организации
"__" _____________ 20__ г.
___________________________________________________________________________
(должность)
___________________________________________________________________________
(фамилия, имя, отчество)
командируется в ___________________________________________________________
(наименование организации)
в целях ___________________________________________________________________
(указать конкретно)
___________________________________________________________________________
___________________________________________________________________________
Руководитель организации
______________
316
( подпись)
М.П.
( печать организации)
--------------------------------------------------------------------------(Оборотная сторона)
Разрешаю __________________________________________________________________
(с чем ознакомить, что конкретно предоставить)
"__" ___________ 20__ г.
_____________
________________________
(подпись)
(инициалы, фамилия)
___________________________ допущен(а) к _______________________ сведениям.
(инициалы, фамилия
(степень секретности)
командированного лица)
Ему (ей) разрешен доступ в помещение ______________________________________
(N или наименование помещения)
в сопровождении ___________________________________________________________
(должность, фамилия и инициалы сопровождающего лица)
Руководитель режимносекретного подразделения ____________
(подпись)
"__" ________ 20__ г.
СПРАВКА
_______________________________ ознакомлен(а) _____________________________
(фамилия, инициалы
(указать с какими работами,
командированного лица)
___________________________________________________________________________
документами или изделиями, какова степень их секретности)
___________________________________________________________________________
______________________________
(должность лица, принявшего
командированного)
_________________________
(фамилия, инициалы)
Подпись ознакомившегося __________________
(подпись)
________________
(подпись)
________________________
(инициалы, фамилия)
"__" _______________ 20__ г.
Форма 6
СПРАВКА
о допуске по первой форме
Подлежит возврату
Штамп организации
N 1/_______________
"__" _____________ 20__ г.
_______________________________________
( фамилия,
___________________________________________________________________________
имя, отчество)
имеет допуск N А/__________________________ от "__" ____________ ____ г., и
распоряжением от "__" ________ ____ г. ему (ей) предоставлено право доступа
к сведениям особой важности.
___________________________________________________________________________
317
(сведения о лицензии на оказание услуг)
Руководитель
режимно-секретного подразделения _____________
(подпись)
___________________________
(инициалы, фамилия)
М.П.
--------------------------------------------------------------------------(Оборотная сторона)
_________________________, находясь в течение _____________________________
(фамилия, инициалы)
(срок)
в командировке в _________________________________________________________,
(наименование организации)
ознакомился(лась) с ______________________________________________________.
(особой важности, совершенно секретными или секретными
сведениями)
Руководитель
режимно-секретного подразделения ______________
(подпись)
__________________________
(инициалы, фамилия)
"__" _____________ 20__ г.
М.П.
Форма 7
СПРАВКА
о допуске по второй форме
Подлежит возврату
Штамп организации
N 2/_____________
"__" ______________ 20__ г.
___________________________________________
( фамилия,
___________________________________________________________________________
имя, отчество)
имеет допуск N Б/________________ от "__" ________ ____ г., и распоряжением
от "__" __________ ___ г. ему (ей) предоставлено право доступа к совершенно
секретным сведениям.
___________________________________________________________________________
(сведения о лицензии на оказание услуг)
Руководитель
режимно-секретного подразделения _____________
(подпись)
___________________________
(инициалы, фамилия)
М.П.
--------------------------------------------------------------------------(Оборотная сторона)
_______________________________, находясь в течение _______________________
(фамилия, инициалы)
(срок)
в командировке в _________________________________________________________,
(наименование организации)
ознакомился(лась) с ______________________________________________________.
318
(совершенно секретными или секретными сведениями)
Руководитель
режимно-секретного подразделения ______________
(подпись)
__________________________
(инициалы, фамилия)
"__" _____________ 20__ г.
М.П.
Форма 8
СПРАВКА
о допуске по третьей форме
Подлежит возврату
Штамп организации
N 3/_____________
"__" ____________ 20__ г.
________________________________________
( фамилия,
___________________________________________________________________________
имя, отчество)
имеет допуск N Д/__________________________ от "__" ____________ ____ г., и
распоряжением от "__" ________ ____ г. ему (ей) предоставлено право доступа
к секретным сведениям.
___________________________________________________________________________
(сведения о лицензии на оказание услуг)
Руководитель
режимно-секретного подразделения ________________
(подпись)
________________________
(инициалы, фамилия)
М.П.
--------------------------------------------------------------------------(Оборотная сторона)
___________________________________, находясь в течение ___________________
(фамилия, инициалы)
(срок)
в командировке в _________________________________________________________,
(наименование организации)
ознакомился(лась) с ______________________________________________________.
(секретными сведениями)
Руководитель
режимно-секретного подразделения ______________
(подпись)
"__" _____________ 20__ г.
__________________________
(инициалы, фамилия)
М.П.
319
Форма 9
ЖУРНАЛ
учета карточек на допуск граждан к государственной тайне
___________________________________________________________________________
(наименование организации)
N
п/п
Фамилия,
имя,
отчество,
должность
Номер
исходящего
письма о
необходимост
и
оформления
допуска
Номер и дата
ответа
о проведении
проверочных
мероприятий
1
2
3
4
Отметки о движении
карточки на допуск
кому
номер
передана
реестра
или
исходящий
номер
и дата
отправки
допуска
5
6
Примеча
ние
(кол-во
номер
листов
и дата
в
акта об
уничтожени карточке,
сведения
и
о
дубликат
ах)
7
8
Пояснение. В графе 3 указывается также учетный номер карточки (форма 1), полученной из
других организаций.
Форма 10
УЧЕТНАЯ КАРТОЧКА
на допуск к государственной тайне
по ____________ форме
Фамилия ___________________________________________________________________
Имя _______________________________________________________________________
Отчество __________________________________________________________________
Дата рождения _____________________________ Место рождения ________________
(число, месяц, год)
___________________________________________________________________________
Адрес _____________________________________________________________________
(адрес фактического проживания и регистрации)
___________________________________________________________________________
Место работы и должность __________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
--------------------------------------------------------------------------(Оборотная сторона)
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
Пояснения:
1. Размер карточки 14,8 см x 10,5 см.
2. Заполнение карточки от руки не допускается.
Форма 11
СПИСОК
на оформляемого ______________________________ и его родственников
(фамилия, имя, отчество)
Степень
родства
N
п/п
Фамилия, имя, отчество
Число, месяц, год
и место рождения
Место
жительства
Пояснения:
1. Списки составляются на граждан, имеющих одинаковую фамилию и проживающих в одной
области, крае, республике, не по степени родства, а строго по алфавиту (например, Иванов И.П. брат оформляемого гражданина, оформляемый Иванов О.П., отец Иванов П.Ф., мать Иванова
Е.В., сестра Иванова З.П.). При этом на девичью фамилию матери составляется отдельный
список; на сестру, вышедшую замуж и принявшую фамилию мужа, - отдельный список (если
оформляемый женат, то должен быть составлен отдельный список на жену по девичьей
фамилии). Аналогичным образом составляются списки на близких родственников оформляемых
лиц, проживающих в других краях, областях, республиках.
На оформляемых граждан и их близких родственников, которые проживали и работали в
разных областях (краях, республиках), дополнительно составляются отдельные списки по каждой
области.
2. В списки включаются дети старше 14 лет.
3. Списки подписями должностных лиц и печатями организации не заверяются.
4. Заполнение списков от руки не допускается.
Форма 12
УТВЕРЖДАЮ
________________________
"__" ___________ 20__ г.
СПИСОК
членов саморегулируемой организации
______________________________________________,
(наименование саморегулируемой организации)
подлежащих оформлению на допуск к государственной тайне
N
п/п
Общее
количество
Должность
1
2
3
Кол-во лиц, подлежащих
оформлению на допуск
к сведениям
ОВ
4
СС
5
С
6
Кол-во лиц,
Примеча
оформленных на ние
допуск
к сведениям
ОВ
СС С
7
8
9
10
Руководитель
саморегулируемой организации
_____________ ____________________
( подпись)
(инициалы, фамилия)
"__" ____________ 20__ г.
Форма 13
321
ЖУРНАЛ
учета выдачи справок о допуске
___________________________________
(наименование организации)
N
п/п
1
Фамилия,
имя,
отчество
2
N
предписани
я
3
На какой
срок выдана
справка
4
Расписка в
получении,
дата
5
Расписка в
обратном
приеме, дата
6
Номер дела
и листа, куда
подшита справка
7
Форма 14
ЖУРНАЛ
учета выдачи предписаний на выполнение заданий
________________________________________________
(наименование организации)
N
п/п
1
Фамилия,
имя, отчество
2
Должность,
подразделение
3
В какую организацию
командируется
4
Расписка в
получении
5
Дата
выдачи
6
Форма 15
ЖУРНАЛ
учета командированных
______________________________
(наименование организации)
N
п/п
Дата
регистрации
Фамилия, имя,
отчество
командированного
Откуда
прибыл
Номер
предписания
на
выполнение
задания
Предписание
подшито
номер
лист
дела
1
2
3
4
5
6
7
Номер
справки о
допуске,
форма
допуска
и срок
действия
8
Дата
убытия
9
322
Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне" (с
изменениями от 2 февраля, 18 декабря 2006 г., 24 июля 2007 г., 11 июля 2011 г.)
Принят Государственной Думой 9 июля 2004 года
Одобрен Советом Федерации 15 июля 2004 года
Статья 1. Цели и сфера действия настоящего Федерального закона
Федеральным законом от 18 декабря 2006 г. N 231-ФЗ часть 1 статьи 1 настоящего
Федерального закона изложена в новой редакции, вступающей в силу с 1 января 2008 г.
1. Настоящий Федеральный закон регулирует отношения, связанные с
установлением, изменением и прекращением режима коммерческой тайны в отношении
информации, составляющей секрет производства (ноу-хау).
2. Положения настоящего Федерального закона распространяются на информацию,
составляющую коммерческую тайну, независимо от вида носителя, на котором она
зафиксирована.
3. Положения настоящего Федерального закона не распространяются на сведения,
отнесенные в установленном порядке к государственной тайне, в отношении которой
применяются положения законодательства Российской Федерации о государственной
тайне.
Статья 2. Законодательство Российской Федерации о коммерческой тайне
Законодательство Российской Федерации о коммерческой тайне состоит из
Гражданского кодекса Российской Федерации, настоящего Федерального закона, других
федеральных законов.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
Для целей настоящего Федерального закона используются следующие основные
понятия:
Комментарий ГАРАНТа
Федеральным законом от 18 декабря 2006 г. N 231-ФЗ пункт 1 статьи 3 настоящего
Федерального закона изложен в новой редакции, вступающей в силу с 1 января 2008 г.
1) коммерческая тайна - режим конфиденциальности информации, позволяющий
ее обладателю при существующих или возможных обстоятельствах увеличить доходы,
избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг
или получить иную коммерческую выгоду;
Комментарий ГАРАНТа
Федеральным законом от 18 декабря 2006 г. N 231-ФЗ пункт 2 статьи 3 настоящего
Федерального закона изложен в новой редакции, вступающей в силу с 1 января 2008 г.
2) информация, составляющая коммерческую тайну (секрет производства), сведения любого характера (производственные, технические, экономические,
организационные и другие), в том числе о результатах интеллектуальной деятельности в
научно-технической сфере, а также сведения о способах осуществления
профессиональной деятельности, которые имеют действительную или потенциальную
коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц
нет свободного доступа на законном основании и в отношении которых обладателем
таких сведений введен режим коммерческой тайны;
3) утратил силу с 1 января 2008 г.;
4) обладатель информации, составляющей коммерческую тайну, - лицо,
которое владеет информацией, составляющей коммерческую тайну, на законном
основании, ограничило доступ к этой информации и установило в отношении ее режим
коммерческой тайны;
323
5) доступ к информации, составляющей коммерческую тайну, - ознакомление
определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее
обладателя или на ином законном основании при условии сохранения
конфиденциальности этой информации;
6) передача информации, составляющей коммерческую тайну, - передача
информации, составляющей коммерческую тайну и зафиксированной на материальном
носителе, ее обладателем контрагенту на основании договора в объеме и на условиях,
которые предусмотрены договором, включая условие о принятии контрагентом
установленных договором мер по охране ее конфиденциальности;
7) контрагент - сторона гражданско-правового договора, которой обладатель
информации, составляющей коммерческую тайну, передал эту информацию;
8) предоставление информации, составляющей коммерческую тайну, передача информации, составляющей коммерческую тайну и зафиксированной на
материальном носителе, ее обладателем органам государственной власти, иным
государственным органам, органам местного самоуправления в целях выполнения их
функций;
9) разглашение информации, составляющей коммерческую тайну, - действие
или бездействие, в результате которых информация, составляющая коммерческую тайну,
в любой возможной форме (устной, письменной, иной форме, в том числе с
использованием технических средств) становится известной третьим лицам без согласия
обладателя такой информации либо вопреки трудовому или гражданско-правовому
договору.
Статья 4. Право на отнесение информации к информации, составляющей коммерческую
тайну, и способы получения такой информации
1. Право на отнесение информации к информации, составляющей коммерческую
тайну, и на определение перечня и состава такой информации принадлежит обладателю
такой информации с учетом положений настоящего Федерального закона.
2. Утратила силу с 1 января 2008 г.
3. Информация, составляющая коммерческую тайну, полученная от ее обладателя
на основании договора или другом законном основании, считается полученной законным
способом.
4. Информация, составляющая коммерческую тайну, обладателем которой является
другое лицо, считается полученной незаконно, если ее получение осуществлялось с
умышленным преодолением принятых обладателем информации, составляющей
коммерческую тайну, мер по охране конфиденциальности этой информации, а также если
получающее эту информацию лицо знало или имело достаточные основания полагать, что
эта информация составляет коммерческую тайну, обладателем которой является другое
лицо, и что осуществляющее передачу этой информации лицо не имеет на передачу этой
информации законного основания.
Статья 5. Сведения, которые не могут составлять коммерческую тайну
Режим коммерческой тайны не может быть установлен лицами, осуществляющими
предпринимательскую деятельность, в отношении следующих сведений:
1) содержащихся в учредительных документах юридического лица, документах,
подтверждающих факт внесения записей о юридических лицах и об индивидуальных
предпринимателях в соответствующие государственные реестры;
2) содержащихся в документах, дающих право на осуществление
предпринимательской деятельности;
3) о составе имущества государственного или муниципального унитарного
предприятия, государственного учреждения и об использовании ими средств
соответствующих бюджетов;
324
4) о загрязнении окружающей среды, состоянии противопожарной безопасности,
санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых
продуктов и других факторах, оказывающих негативное воздействие на обеспечение
безопасного функционирования производственных объектов, безопасности каждого
гражданина и безопасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда, об условиях
труда, в том числе об охране труда, о показателях производственного травматизма и
профессиональной заболеваемости, и о наличии свободных рабочих мест;
6) о задолженности работодателей по выплате заработной платы и по иным
социальным выплатам;
7) о нарушениях законодательства Российской Федерации и фактах привлечения к
ответственности за совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов
государственной или муниципальной собственности;
9) о размерах и структуре доходов некоммерческих организаций, о размерах и
составе их имущества, об их расходах, о численности и об оплате труда их работников, об
использовании безвозмездного труда граждан в деятельности некоммерческой
организации;
10) о перечне лиц, имеющих право действовать без доверенности от имени
юридического лица;
11) обязательность раскрытия которых или недопустимость ограничения доступа к
которым установлена иными федеральными законами.
Статья 6. Предоставление информации, составляющей коммерческую тайну
1. Обладатель информации, составляющей коммерческую тайну, по
мотивированному требованию органа государственной власти, иного государственного
органа, органа местного самоуправления предоставляет им на безвозмездной основе
информацию, составляющую коммерческую тайну. Мотивированное требование должно
быть подписано уполномоченным должностным лицом, содержать указание цели и
правового основания затребования информации, составляющей коммерческую тайну, и
срок предоставления этой информации, если иное не установлено федеральными
законами.
2. В случае отказа обладателя информации, составляющей коммерческую тайну,
предоставить ее органу государственной власти, иному государственному органу, органу
местного самоуправления данные органы вправе затребовать эту информацию в судебном
порядке.
Комментарий ГАРАНТа
Федеральным законом от 24 июля 2007 г. N 214-ФЗ в часть третью статьи 6
настоящего Федерального закона внесены изменения, вступающие в силу с 7 сентября
2007 г.
3. Обладатель информации, составляющей коммерческую тайну, а также органы
государственной власти, иные государственные органы, органы местного
самоуправления, получившие такую информацию в соответствии с частью 1 настоящей
статьи, обязаны предоставить эту информацию по запросу судов, органов
предварительного следствия, органов дознания по делам, находящимся в их производстве,
в порядке и на основаниях, которые предусмотрены законодательством Российской
Федерации.
4. На документах, предоставляемых указанным в частях 1 и 3 настоящей статьи
органам и содержащих информацию, составляющую коммерческую тайну, должен быть
нанесен гриф "Коммерческая тайна" с указанием ее обладателя (для юридических лиц полное наименование и место нахождения, для индивидуальных предпринимателей -
325
фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и
место жительства).
Статья 7. Утратила силу с 1 января 2008 г.
Статья 8. Утратила силу с 1 января 2008 г.
Статья 9. Утратила силу с 1 января 2008 г.
Статья 10. Охрана конфиденциальности информации
1. Меры по охране конфиденциальности информации, принимаемые ее
обладателем, должны включать в себя:
1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну, путем
установления порядка обращения с этой информацией и контроля за соблюдением такого
порядка;
3) учет лиц, получивших доступ к информации, составляющей коммерческую
тайну, и (или) лиц, которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию информации, составляющей
коммерческую тайну, работниками на основании трудовых договоров и контрагентами на
основании гражданско-правовых договоров;
Комментарий ГАРАНТа
Федеральным законом от 11 июля 2011 г. N 200-ФЗ пункт 5 части 1 статьи 10
настоящего Федерального закона изложен в новой редакции
5) нанесение на материальные носители, содержащие информацию, составляющую
коммерческую тайну, или включение в состав реквизитов документов, содержащих такую
информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации
(для юридических лиц - полное наименование и место нахождения, для индивидуальных
предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным
предпринимателем, и место жительства).
2. Режим коммерческой тайны считается установленным после принятия
обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1
настоящей статьи.
3. Индивидуальный предприниматель, являющийся обладателем информации,
составляющей коммерческую тайну, и не имеющий работников, с которыми заключены
трудовые договоры, принимает меры по охране конфиденциальности информации,
указанные в части 1 настоящей статьи, за исключением пунктов 1 и 2, а также положений
пункта 4, касающихся регулирования трудовых отношений.
4. Наряду с мерами, указанными в части 1 настоящей статьи, обладатель
информации, составляющей коммерческую тайну, вправе применять при необходимости
средства и методы технической защиты конфиденциальности этой информации, другие не
противоречащие законодательству Российской Федерации меры.
5. Меры по охране конфиденциальности информации признаются разумно
достаточными, если:
1) исключается доступ к информации, составляющей коммерческую тайну, любых
лиц без согласия ее обладателя;
2) обеспечивается возможность использования информации, составляющей
коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима
коммерческой тайны.
6. Режим коммерческой тайны не может быть использован в целях,
противоречащих требованиям защиты основ конституционного строя, нравственности,
здоровья, прав и законных интересов других лиц, обеспечения обороны страны и
безопасности государства.
326
Статья 11. Охрана конфиденциальности информации в рамках трудовых отношений
1. В целях охраны конфиденциальности информации работодатель обязан:
1) ознакомить под расписку работника, доступ которого к информации,
составляющей коммерческую тайну, необходим для выполнения им своих трудовых
обязанностей, с перечнем информации, составляющей коммерческую тайну,
обладателями которой является работодатель и его контрагенты;
2) ознакомить под расписку работника с установленным работодателем режимом
коммерческой тайны и с мерами ответственности за его нарушение;
3) создать работнику необходимые условия для соблюдения им установленного
работодателем режима коммерческой тайны.
2. Доступ работника к информации, составляющей коммерческую тайну,
осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.
3. В целях охраны конфиденциальности информации работник обязан:
1) выполнять установленный работодателем режим коммерческой тайны;
2) не разглашать информацию, составляющую коммерческую тайну, обладателями
которой являются работодатель и его контрагенты, и без их согласия не использовать эту
информацию в личных целях;
3) утратил силу с 1 января 2008 г.;
4) утратил силу с 1 января 2008 г.;
5) передать работодателю при прекращении или расторжении трудового договора
имеющиеся в пользовании работника материальные носители информации, содержащие
информацию, составляющую коммерческую тайну, либо уничтожить такую информацию
или удалить ее с этих материальных носителей под контролем работодателя.
4. Утратила силу с 1 января 2008 г.
5. Утратила силу с 1 января 2008 г.
6. Трудовым договором с руководителем организации должны предусматриваться
его обязательства по обеспечению охраны конфиденциальности информации,
обладателем которой являются организация и ее контрагенты, и ответственность за
обеспечение охраны ее конфиденциальности.
7. Утратила силу с 1 января 2008 г.
8. Работник имеет право обжаловать в судебном порядке незаконное установление
режима коммерческой тайны в отношении информации, к которой он получил доступ в
связи с исполнением им трудовых обязанностей.
Статья 12. Утратила силу с 1 января 2008 г.
Статья 13. Охрана конфиденциальности информации при ее предоставлении
1. Органы государственной власти, иные государственные органы, органы
местного самоуправления в соответствии с настоящим Федеральным законом и иными
федеральными законами обязаны создать условия, обеспечивающие охрану
конфиденциальности информации, предоставленной им юридическими лицами или
индивидуальными предпринимателями.
2. Должностные лица органов государственной власти, иных государственных
органов, органов местного самоуправления, государственные или муниципальные
служащие указанных органов без согласия обладателя информации, составляющей
коммерческую тайну, не вправе разглашать или передавать другим лицам, органам
государственной власти, иным государственным органам, органам местного
самоуправления ставшую известной им в силу выполнения должностных (служебных)
обязанностей информацию, составляющую коммерческую тайну, за исключением
случаев, предусмотренных настоящим Федеральным законом, а также не вправе
использовать эту информацию в корыстных или иных личных целях.
3. В случае нарушения конфиденциальности информации должностными лицами
органов государственной власти, иных государственных органов, органов местного
327
самоуправления, государственными и муниципальными служащими указанных органов
эти лица несут ответственность в соответствии с законодательством Российской
Федерации.
Статья 14. Ответственность за нарушение настоящего Федерального закона
1. Нарушение настоящего Федерального закона влечет за собой дисциплинарную,
гражданско-правовую, административную или уголовную ответственность в соответствии
с законодательством Российской Федерации.
2. Работник, который в связи с исполнением трудовых обязанностей, получил
доступ к информации, составляющей коммерческую тайну, обладателями которой
являются работодатель и его контрагенты, в случае умышленного или неосторожного
разглашения этой информации при отсутствии в действиях такого работника состава
преступления
несет
дисциплинарную
ответственность
в
соответствии
с
законодательством Российской Федерации.
3. Органы государственной власти, иные государственные органы, органы
местного самоуправления, получившие доступ к информации, составляющей
коммерческую тайну, несут перед обладателем информации, составляющей
коммерческую тайну, гражданско-правовую ответственность за разглашение или
незаконное
использование
этой
информации
их
должностными
лицами,
государственными или муниципальными служащими указанных органов, которым она
стала известна в связи с выполнением ими должностных (служебных) обязанностей.
4. Лицо, которое использовало информацию, составляющую коммерческую тайну,
и не имело достаточных оснований считать использование данной информации
незаконным, в том числе получило доступ к ней в результате случайности или ошибки, не
может в соответствии с настоящим Федеральным законом быть привлечено к
ответственности.
5. По требованию обладателя информации, составляющей коммерческую тайну,
лицо, указанное в части 4 настоящей статьи, обязано принять меры по охране
конфиденциальности информации. При отказе такого лица принять указанные меры
обладатель информации, составляющей коммерческую тайну, вправе требовать в
судебном порядке защиты своих прав.
Статья 15. Ответственность за непредоставление органам государственной власти, иным
государственным органам, органам местного самоуправления информации, составляющей
коммерческую тайну
Невыполнение обладателем информации, составляющей коммерческую тайну,
законных требований органов государственной власти, иных государственных органов,
органов местного самоуправления о предоставлении им информации, составляющей
коммерческую тайну, а равно воспрепятствование получению должностными лицами этих
органов указанной информации влечет за собой ответственность в соответствии с
законодательством Российской Федерации.
Статья 16. Переходные положения
Грифы, нанесенные до вступления в силу настоящего Федерального закона на
материальные носители и указывающие на содержание в них информации, составляющей
коммерческую тайну, сохраняют свое действие при условии, если меры по охране
конфиденциальности указанной информации будут приведены в соответствие с
требованиями настоящего Федерального закона.
Президент Российской Федерации
В. Путин
Москва, Кремль
328
29 июля 2004 года
N 98-ФЗ
Закон РФ от 21 июля 1993 г. N 5485-I
"О государственной тайне"
(информация об изменениях )
C изменениями и дополнениями от:
6 октября 1997 г., 30 июня, 11 ноября 2003 г., 29 июня, 22 августа 2004 г., 1 декабря 2007 г., 18
июля 2009 г., 15 ноября 2010 г., 18, 19 июля, 8 ноября 2011 г.
Постановление ВС РФ от 21 июля 1993 г. N 5486-1 "О порядке введения в действие Закона
Российской Федерации "О государственной тайне"
Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к
государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах
обеспечения безопасности Российской Федерации.
Раздел I. Общие Положения
Информация об изменениях:Федеральным законом от 1 декабря 2007 г. N 318-ФЗ в статью 1
настоящего Закона внесены изменения
О соответствии Конституции РФ статьи 1 настоящего Закона см. постановление
Конституционного Суда РФ от 27 марта 1996 г. N 8-П
Статья 1. Сфера действия настоящего Закона
Положения настоящего Закона обязательны для исполнения на территории Российской
Федерации и за ее пределами органами законодательной, исполнительной и судебной власти, а
также организациями, наделенными в соответствии с федеральным законом полномочиями
осуществлять от имени Российской Федерации государственное управление в установленной
сфере деятельности (далее - органы государственной власти), органами местного
самоуправления, предприятиями, учреждениями и организациями независимо от их
организационно - правовой формы и формы собственности, должностными лицами и гражданами
Российской Федерации, взявшими на себя обязательства либо обязанными по своему статусу
исполнять требования законодательства Российской Федерации о государственной тайне.
Статья 2. Основные понятия, используемые в настоящем Законе
В настоящем Законе используются следующие основные понятия:
государственная тайна - защищаемые государством сведения в области его военной,
внешнеполитической, экономической, разведывательной, контрразведывательной и оперативнорозыскной деятельности, распространение которых может нанести ущерб безопасности
Российской Федерации;
носители сведений, составляющих государственную тайну, - материальные объекты,
в том числе физические поля, в которых сведения, составляющие государственную тайну, находят
свое отображение в виде символов, образов, сигналов, технических решений и процессов;
система защиты государственной тайны - совокупность органов защиты
государственной тайны, используемых ими средств и методов защиты сведений, составляющих
государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях;
допуск к государственной тайне - процедура оформления права граждан на доступ к
сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций - на
проведение работ с использованием таких сведений;
доступ к сведениям, составляющим государственную тайну, - санкционированное
полномочным должностным лицом ознакомление конкретного лица со сведениями,
составляющими государственную тайну;
гриф секретности - реквизиты, свидетельствующие о степени секретности сведений,
содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной
документации на него;
средства защиты информации - технические, криптографические, программные и другие
средства, предназначенные для защиты сведений, составляющих государственную тайну,
средства, в которых они реализованы, а также средства контроля эффективности защиты
информации;
Положение о разработке, производстве, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации, утвержденное приказом ФСБ РФ от 9
февраля 2005 г. N 66
329
перечень сведений, составляющих государственную тайну, - совокупность категорий
сведений, в соответствии с которыми сведения относятся к государственной тайне и
засекречиваются на основаниях и в порядке, установленных федеральным законодательством.
Статья 3. Законодательство Российской Федерации о государственной тайне
Законодательство Российской Федерации о государственной тайне основывается на
Конституции Российской Федерации, Законе Российской Федерации "О безопасности" и включает
настоящий Закон, а также положения других актов законодательства, регулирующих отношения,
связанные с защитой государственной тайны.
Информация об изменениях:Федеральным законом от 22 августа 2004 г. N 122-ФЗ в статью 4
настоящего Закона внесены изменения, вступающие в силу с 1 января 2005 г.
Статья 4. Полномочия органов государственной власти и должностных лиц в области отнесения
сведений к государственной тайне и их защиты
1. Палаты Федерального Собрания:
осуществляют законодательное регулирование отношений в области государственной
тайны;
рассматривают статьи федерального бюджета в части средств, направляемых на
реализацию государственных программ в области защиты государственной тайны;
определяют полномочия должностных лиц в аппаратах палат Федерального Собрания по
обеспечению защиты государственной тайны в палатах Федерального Собрания.
Информация об изменениях:Федеральным законом от 18 июля 2009 г. N 180-ФЗ в пункт 2 статьи 4
настоящего Закона внесены изменения, вступающие в силу по истечении девяноста дней после
дня официального опубликования названного Федерального закона
2. Президент Российской Федерации:
утверждает государственные программы в области защиты государственной тайны;
утверждает по представлению Правительства Российской Федерации состав, структуру
межведомственной комиссии по защите государственной тайны и положение о ней;
утверждает по представлению Правительства Российской Федерации Перечень
должностных лиц органов государственной власти и организаций, наделяемых полномочиями по
отнесению сведений к государственной тайне, Перечень должностей, при замещении которых
лица считаются допущенными к государственной тайне, а также Перечень сведений, отнесенных к
государственной тайне;
заключает международные договоры Российской Федерации о совместном использовании
и защите сведений, составляющих государственную тайну;
определяет полномочия должностных лиц по обеспечению защиты государственной тайны
в Администрации Президента Российской Федерации;
в пределах своих полномочий решает иные вопросы, возникающие в связи с отнесением
сведений к государственной тайне, их засекречиванием или рассекречиванием и их защитой.
Информация об изменениях:Федеральным законом от 8 ноября 2011 г. N 309-ФЗ в пункт 3 статьи 4
настоящего Закона внесены изменения, вступающие в силу с 1 января 2012 г.
3. Правительство Российской Федерации:
организует исполнение Закона Российской Федерации "О государственной тайне";
представляет на утверждение Президенту Российской Федерации состав, структуру
межведомственной комиссии по защите государственной тайны и положение о ней;
представляет на утверждение Президенту Российской Федерации Перечень должностных
лиц органов государственной власти и организаций, наделяемых полномочиями по отнесению
сведений к государственной тайне, Перечень должностей, при замещении которых лица считаются
допущенными к государственной тайне, а также Перечень сведений, отнесенных к
государственной тайне;
устанавливает порядок разработки Перечня сведений, отнесенных к государственной
тайне;
организует разработку и выполнение государственных программ в области защиты
государственной тайны;
определяет полномочия должностных лиц по обеспечению защиты государственной тайны
в аппарате Правительства Российской Федерации;
устанавливает порядок предоставления социальных гарантий гражданам, допущенным к
государственной тайне на постоянной основе, и сотрудникам структурных подразделений по
защите государственной тайны, если социальные гарантии либо порядок предоставления таких
социальных гарантий не установлены федеральными законами или нормативными правовыми
актами Президента Российской Федерации;
330
устанавливает порядок определения размеров ущерба, наступившего в результате
несанкционированного распространения сведений, составляющих государственную тайну, а также
ущерба, наносимого собственнику информации в результате ее засекречивания;
заключает межправительственные соглашения, принимает меры по выполнению
международных договоров Российской Федерации о совместном использовании и защите
сведений, составляющих государственную тайну, принимает решения о возможности передачи их
носителей другим государствам или международным организациям;
в пределах своих полномочий решает иные вопросы, возникающие в связи с отнесением
сведений к государственной тайне, их засекречиванием или рассекречиванием и их защитой.
4. Органы государственной власти Российской Федерации, органы государственной власти
субъектов Российской Федерации и органы местного самоуправления во взаимодействии с
органами защиты государственной тайны, расположенными в пределах соответствующих
территорий:
обеспечивают защиту переданных им другими органами государственной власти,
предприятиями, учреждениями и организациями сведений, составляющих государственную тайну,
а также сведений, засекречиваемых ими;
обеспечивают защиту государственной тайны на подведомственных им предприятиях, в
учреждениях и организациях в соответствии с требованиями актов законодательства Российской
Федерации;
устанавливают размеры предоставляемых социальных гарантий гражданам, допущенным
к государственной тайне на постоянной основе, и сотрудникам структурных подразделений по
защите государственной тайны на подведомственных им предприятиях, в учреждениях и
организациях;
обеспечивают в пределах своей компетенции проведение проверочных мероприятий в
отношении граждан, допускаемых к государственной тайне;
реализуют предусмотренные законодательством меры по ограничению прав граждан и
предоставлению социальных гарантий лицам, имеющим либо имевшим доступ к сведениям,
составляющим государственную тайну;
вносят
в
полномочные
органы
государственной
власти
предложения
по
совершенствованию системы защиты государственной тайны.
5. Органы судебной власти:
рассматривают уголовные и гражданские дела о нарушениях законодательства Российской
Федерации о государственной тайне;
обеспечивают судебную защиту граждан, органов государственной власти, предприятий,
учреждений и организаций в связи с их деятельностью по защите государственной тайны;
обеспечивают в ходе рассмотрения указанных дел защиту государственной тайны;
определяют полномочия должностных лиц по обеспечению защиты государственной тайны
в органах судебной власти.
Раздел II. Перечень сведений, составляющих государственную тайну
Информация об изменениях:Федеральным законом от 11 ноября 2003 г. N 153-ФЗ в статью 5
настоящего Закона внесены изменения, вступающие в силу по истечении трех месяцев со дня
официального опубликования названного Федерального закона
Перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента
РФ от 30 ноября 1995 г. N 1203
Статья 5. Перечень сведений, составляющих государственную тайну
Государственную тайну составляют:
1) сведения в военной области:
о содержании стратегических и оперативных планов, документов боевого управления по
подготовке и проведению операций, стратегическому, оперативному и мобилизационному
развертыванию Вооруженных Сил Российской Федерации, других войск, воинских формирований и
органов, предусмотренных Федеральным законом "Об обороне", об их боевой и мобилизационной
готовности, о создании и об использовании мобилизационных ресурсов;
о планах строительства Вооруженных Сил Российской Федерации, других войск
Российской Федерации, о направлениях развития вооружения и военной техники, о содержании и
результатах выполнения целевых программ, научно-исследовательских и опытно-конструкторских
работ по созданию и модернизации образцов вооружения и военной техники;
о разработке, технологии, производстве, об объемах производства, о хранении, об
утилизации ядерных боеприпасов, их составных частей, делящихся ядерных материалов,
используемых в ядерных боеприпасах, о технических средствах и (или) методах защиты ядерных
боеприпасов от несанкционированного применения, а также о ядерных энергетических и
специальных физических установках оборонного значения;
331
о тактико-технических характеристиках и возможностях боевого применения образцов
вооружения и военной техники, о свойствах, рецептурах или технологиях производства новых
видов ракетного топлива или взрывчатых веществ военного назначения;
о дислокации, назначении, степени готовности, защищенности режимных и особо важных
объектов, об их проектировании, строительстве и эксплуатации, а также об отводе земель, недр и
акваторий для этих объектов;
о дислокации, действительных наименованиях, об организационной структуре, о
вооружении, численности войск и состоянии их боевого обеспечения, а также о военнополитической и (или) оперативной обстановке;
2) сведения в области экономики, науки и техники:
о содержании планов подготовки Российской Федерации и ее отдельных регионов к
возможным военным действиям, о мобилизационных мощностях промышленности по
изготовлению и ремонту вооружения и военной техники, об объемах производства, поставок, о
запасах стратегических видов сырья и материалов, а также о размещении, фактических размерах
и об использовании государственных материальных резервов;
об использовании инфраструктуры Российской Федерации в целях обеспечения
обороноспособности и безопасности государства;
о силах и средствах гражданской обороны, о дислокации, предназначении и степени
защищенности объектов административного управления, о степени обеспечения безопасности
населения, о функционировании транспорта и связи в Российской Федерации в целях обеспечения
безопасности государства;
об объемах, о планах (заданиях) государственного оборонного заказа, о выпуске и
поставках (в денежном или натуральном выражении) вооружения, военной техники и другой
оборонной продукции, о наличии и наращивании мощностей по их выпуску, о связях предприятий
по кооперации, о разработчиках или об изготовителях указанных вооружения, военной техники и
другой оборонной продукции;
о достижениях науки и техники, о научно-исследовательских, об опытно-конструкторских, о
проектных работах и технологиях, имеющих важное оборонное или экономическое значение,
влияющих на безопасность государства;
о запасах платины, металлов платиновой группы, природных алмазов в Государственном
фонде драгоценных металлов и драгоценных камней Российской Федерации, Центральном банке
Российской Федерации, а также об объемах запасов в недрах, добычи, производства и
потребления стратегических видов полезных ископаемых Российской Федерации (по списку,
определяемому Правительством Российской Федерации);
3) сведения в области внешней политики и экономики:
о внешнеполитической, внешнеэкономической деятельности Российской Федерации,
преждевременное распространение которых может нанести ущерб безопасности государства;
о финансовой политике в отношении иностранных государств (за исключением
обобщенных показателей по внешней задолженности), а также о финансовой или денежнокредитной деятельности, преждевременное распространение которых может нанести ущерб
безопасности государства;
Информация об изменениях:Федеральным законом от 15 ноября 2010 г. N 299-ФЗ в пункт 4 статьи 5
настоящего Закона внесены изменения, вступающие в силу по истечении девяноста дней после
дня официального опубликования названного Федерального закона
4) сведения в области разведывательной, контрразведывательной и оперативнорозыскной деятельности, а также в области противодействия терроризму:
о силах, средствах, об источниках, о методах, планах и результатах разведывательной,
контрразведывательной, оперативно-розыскной деятельности и деятельности по противодействию
терроризму, а также данные о финансировании этой деятельности, если эти данные раскрывают
перечисленные сведения;
о лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами,
осуществляющими разведывательную, контрразведывательную и оперативно-розыскную
деятельность;
об организации, о силах, средствах и методах обеспечения безопасности объектов
государственной охраны, а также данные о финансировании этой деятельности, если эти данные
раскрывают перечисленные сведения;
о системе президентской, правительственной, шифрованной, в том числе кодированной и
засекреченной связи, о шифрах, о разработке, об изготовлении шифров и обеспечении ими, о
методах и средствах анализа шифровальных средств и средств специальной защиты, об
информационно-аналитических системах специального назначения;
о методах и средствах защиты секретной информации;
об организации и о фактическом состоянии защиты государственной тайны;
332
о защите Государственной границы Российской Федерации, исключительной
экономической зоны и континентального шельфа Российской Федерации;
о расходах федерального бюджета, связанных с обеспечением обороны, безопасности
государства и правоохранительной деятельности в Российской Федерации;
о подготовке кадров, раскрывающие мероприятия, проводимые в целях обеспечения
безопасности государства;
о мерах по обеспечению защищенности критически важных объектов и потенциально
опасных объектов инфраструктуры Российской Федерации от террористических актов;
о результатах финансового мониторинга в отношении организаций и физических лиц,
полученных в связи с проверкой их возможной причастности к террористической деятельности.
Правила проведения проверки наличия в заявках на выдачу патента на изобретение или
полезную модель, созданные в РФ, сведений, составляющих государственную тайну,
утвержденные постановлением Правительства РФ от 24 декабря 2007 г. N 928
Правила разработки перечня сведений, отнесенных к государственной тайне, утвержденные
постановлением Правительства РФ от 23 июля 2005 г. N 443
Раздел III. Отнесение сведений к государственной тайне и их засекречивание
Статья 6. Принципы отнесения сведений к государственной тайне и засекречивания этих сведений
Отнесение сведений к государственной тайне и их засекречивание - введение в
предусмотренном настоящим Законом порядке для сведений, составляющих государственную
тайну, ограничений на их распространение и на доступ к их носителям.
Отнесение сведений к государственной тайне и их засекречивание осуществляется в
соответствии с принципами законности, обоснованности и своевременности.
Законность отнесения сведений к государственной тайне и их засекречивание заключается
в соответствии засекречиваемых сведений положениям статей 5 и 7 настоящего Закона и
законодательству Российской Федерации о государственной тайне.
Обоснованность отнесения сведений к государственной тайне и их засекречивание
заключается в установлении путем экспертной оценки целесообразности засекречивания
конкретных сведений, вероятных экономических и иных последствий этого акта исходя из баланса
жизненно важных интересов государства, общества и граждан.
Своевременность отнесения сведений к государственной тайне и их засекречивание
заключается в установлении ограничений на распространение этих сведений с момента их
получения (разработки) или заблаговременно.
Информация об изменениях:Федеральным законом от 22 августа 2004 г. N 122-ФЗ в статью 7
настоящего Закона внесены изменения, вступающие в силу с 1 января 2005 г.
Статья 7. Сведения, не подлежащие отнесению к государственной тайне и засекречиванию
Не подлежат отнесению к государственной тайне и засекречиванию сведения:
о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью
граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и
последствиях;
о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры,
сельского хозяйства, а также о состоянии преступности;
о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством
гражданам, должностным лицам, предприятиям, учреждениям и организациям;
о фактах нарушения прав и свобод человека и гражданина;
о размерах золотого запаса и государственных валютных резервах Российской Федерации;
о состоянии здоровья высших должностных лиц Российской Федерации;
о фактах нарушения законности органами государственной власти и их должностными
лицами.
Должностные лица, принявшие решение о засекречивании перечисленных сведений либо
о включении их в этих целях в носители сведений, составляющих государственную тайну, несут
уголовную, административную или дисциплинарную ответственность в зависимости от
причиненного обществу, государству и гражданам материального и морального ущерба. Граждане
вправе обжаловать такие решения в суд.
:О сведениях, не подлежащих засекречиванию, см. также постановление Правительства РФ от
7 августа 1995 г. N 798
Статья 8. Степени секретности сведений и грифы секретности носителей этих сведений
Степень секретности сведений, составляющих государственную тайну, должна
соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской
Федерации вследствие распространения указанных сведений.
333
Устанавливаются три степени секретности сведений, составляющих государственную
тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений:
"особой важности", "совершенно секретно" и "секретно".
Порядок определения размеров ущерба, который может быть нанесен безопасности
Российской Федерации вследствие распространения сведений, составляющих государственную
тайну, и правила отнесения указанных сведений к той или иной степени секретности
устанавливаются Правительством Российской Федерации.
Использование перечисленных грифов секретности для засекречивания сведений, не
отнесенных к государственной тайне, не допускается.
Статья 9. Порядок отнесения сведений к государственной тайне
Отнесение сведений к государственной тайне осуществляется в соответствии с их
отраслевой, ведомственной или программно-целевой принадлежностью, а также в соответствии с
настоящим Законом.
Обоснование необходимости отнесения сведений к государственной тайне в соответствии
с принципами засекречивания сведений возлагается на органы государственной власти,
предприятия, учреждения и организации, которыми эти сведения получены (разработаны).
Отнесение сведений к государственной тайне осуществляется в соответствии с Перечнем
сведений, составляющих государственную тайну, определяемым настоящим Законом,
руководителями органов государственной власти в соответствии с Перечнем должностных лиц,
наделенных полномочиями по отнесению сведений к государственной тайне, утверждаемым
Президентом Российской Федерации. Указанные лица несут персональную ответственность за
принятые ими решения о целесообразности отнесения конкретных сведений к государственной
тайне.
Для осуществления единой государственной политики в области засекречивания сведений
межведомственная комиссия по защите государственной тайны формирует по предложениям
органов государственной власти и в соответствии с Перечнем сведений, составляющих
государственную тайну, Перечень сведений, отнесенных к государственной тайне. В этом Перечне
указываются органы государственной власти, наделяемые полномочиями по распоряжению
данными сведениями. Указанный Перечень утверждается Президентом Российской Федерации,
подлежит открытому опубликованию и пересматривается по мере необходимости.
Органами государственной власти, руководители которых наделены полномочиями по
отнесению сведений к государственной тайне, в соответствии с Перечнем сведений, отнесенных к
государственной тайне, разрабатываются развернутые перечни сведений, подлежащих
засекречиванию. В эти перечни включаются сведения, полномочиями по распоряжению которыми
наделены указанные органы, и устанавливается степень их секретности. В рамках целевых
программ по разработке и модернизации образцов вооружения и военной техники, опытноконструкторских и научно-исследовательских работ по решению заказчиков указанных образцов и
работ могут разрабатываться отдельные перечни сведений, подлежащих засекречиванию. Эти
перечни утверждаются соответствующими руководителями органов государственной власти.
Целесообразность засекречивания таких перечней определяется их содержанием.
Статья 10. Ограничение прав собственности предприятий, учреждений, организаций и граждан
Российской Федерации на информацию в связи с ее засекречиванием
Должностные лица, наделенные в порядке, предусмотренном статьей 9 настоящего
Закона, полномочиями по отнесению сведений к государственной тайне, вправе принимать
решения о засекречивании информации, находящейся в собственности предприятий, учреждений,
организаций и граждан (далее-собственник информации), если эта информация включает
сведения, перечисленные в Перечне сведений, отнесенных к государственной тайне.
Засекречивание указанной информации осуществляется по представлению собственников
информации или соответствующих органов государственной власти.
Материальный ущерб, наносимый собственнику информации в связи с ее
засекречиванием, возмещается государством в размерах, определяемых в договоре между
органом государственной власти, в распоряжение которого переходит эта информация, и ее
собственником. В договоре также предусматриваются обязательства собственника информации по
ее нераспространению. При отказе собственника информации от подписаного договора он
предупреждается об ответственности за несанкционированное распространение сведений,
составляющих государственную тайну в соответствии с действующим законодательством.
Собственник информации вправе обжаловать в суд действия должностных лиц,
ущемляющие, по мнению собственника информации, его права. В случае признания судом
действий должностных лиц незаконными порядок возмещения ущерба, нанесенного собственнику
информации, определяется решением суда в соответствии с действующим законодательством.
334
Не может быть ограничено право собственности на информацию иностранных организаций
и иностранных граждан, если эта информация получена (разработана) ими без нарушения
законодательства Российской Федерации.
Статья 11. Порядок засекречивания сведений и их носителей
Основанием для засекречивания сведений, полученных (разработанных) в результате
управленческой, производственной, научной и иных видов деятельности органов государственной
власти, предприятий, учреждений и организаций, является их соответствие действующим в
данных органах, на данных предприятиях, в данных учреждениях и организациях перечням
сведений, подлежащих засекречиванию. При засекречивании этих сведений их носителям
присваивается соответствующий гриф секретности.
При невозможности идентификации полученных (разработанных) сведений со сведениями,
содержащимися в действующем перечне, должностные лица органов государственной власти,
предприятий, учреждений и организаций обязаны обеспечить предварительное засекречивание
полученных (разработанных) сведений в соответствии с предполагаемой степенью секретности и
в месячный срок направить в адрес должностного лица, утвердившего указанный перечень,
предложения по его дополнению (изменению).
Должностные лица, утвердившие действующий перечень, обязаны в течение трех месяцев
организовать экспертную оценку поступивших предложений и принять решение по дополнению
(изменению) действующего перечня или снятию предварительно присвоенного сведениям грифа
секретности.
Статья 12. Реквизиты носителей сведений, составляющих государственную тайну
На носители сведений, составляющих государственную тайну, наносятся реквизиты,
включающие следующие данные:
о степени секретности содержащихся в носителе сведений со ссылкой на
соответствующий пункт действующего в данном органе государственной власти, на данном
предприятии, в данных учреждении и организации перечня сведений, подлежащих
засекречиванию;
об органе государственной власти, о предприятии, об учреждении, организации,
осуществивших засекречивание носителя;
о регистрационном номере;
о дате или условии рассекречивания сведений либо о событии, после наступления
которого сведения будут рассекречены.
При невозможности нанесения таких реквизитов на носитель сведений, составляющих
государственную тайну, эти данные указываются в сопроводительной документации на этот
носитель.
Если носитель содержит составные части с различными степенями секретности, каждой из
этих составных частей присваивается соответствующий гриф секретности, а носителю в целом
присваивается гриф секретности, соответствующий тому грифу секретности, который
присваивается его составной части, имеющей высшую для данного носителя степень секретности
сведений.
Помимо перечисленных в настоящей статье реквизитов на носителе и (или) в
сопроводительной документации к нему могут проставляться дополнительные отметки,
определяющие полномочия должностных лиц по ознакомлению с содержащимися в этом носителе
сведениями. Вид и порядок проставления дополнительных отметок и других реквизитов
определяются нормативными документами, утверждаемыми Правительством Российской
Федерации.
Раздел IV. Рассекречивание сведений и их носителей
О рассекречивании архивных документов Красной Армии и Военно-Морского Флота за период
Великой Отечественной войны 1941 - 1945 гг. см. приказ Минобороны РФ от 8 мая 2007 г. N 181
Положение о порядке рассекречивания и продления сроков засекречивания архивных документов
Правительства СССР, утвержденное постановлением Правительства РФ от 20 февраля 1995
г. N 170
Статья 13. Порядок рассекречивания сведений
Рассекречивание сведений и их носителей - снятие ранее введенных в предусмотренном
настоящим Законом порядке ограничений на распространение сведений, составляющих
государственную тайну, и на доступ к их носителям.
Основаниями для рассекречивания сведений являются:
взятие на себя Российской Федерацией международных обязательств по открытому
обмену сведениями, составляющими в Российской Федерации государственную тайну;
335
изменение объективных обстоятельств, вследствие которого дальнейшая защита
сведений, составляющих государственную тайну, является нецелесообразной.
Органы государственной власти, руководители которых наделены полномочиями по
отнесению сведений к государственной тайне, обязаны периодически, но не реже чем через
каждые 5 лет, пересматривать содержание действующих в органах государственной власти, на
предприятиях, в учреждениях и организациях перечней сведений, подлежащих засекречиванию, в
части обоснованности засекречивания сведений и их соответствия установленной ранее степени
секретности.
Срок засекречивания сведений, составляющих государственную тайну, не должен
превышать 30 лет. В исключительных случаях этот срок может быть продлен по заключению
межведомственной комиссии по защите государственной тайны.
Правом изменения действующих в органах государственной власти, на предприятиях, в
учреждениях и организациях перечней сведений, подлежащих засекречиванию, наделяются
утвердившие их руководители органов государственной власти, которые несут персональную
ответственность за обоснованность принятых ими решений по рассекречиванию сведений.
Решения указанных руководителей, связанные с изменением перечня сведений, отнесенных к
государственной тайне, подлежат согласованию с межведомственной комиссией по защите
государственной тайны, которая вправе приостанавливать и опротестовывать эти решения.
Статья 14. Порядок рассекречивания носителей сведений, составляющих государственную тайну
Носители сведений, составляющих государственную тайну, рассекречиваются не позднее
сроков, установленных при их засекречивании. До истечения этих сроков носители подлежат
рассекречиванию, если изменены положения действующего в данном органе государственной
власти, на предприятии, в учреждении и организации перечня, на основании которых они были
засекречены.
В исключительных случаях право продления первоначально установленных сроков
засекречивания носителей сведений, составляющих государственную тайну, предоставляется
руководителям государственных органов, наделенным полномочиями по отнесению
соответствующих сведений к государственной тайне, на основании заключения назначенной ими в
установленном порядке экспертной комиссии.
Руководители органов государственной власти, предприятий, учреждений и организаций
наделяются полномочиями по рассекречиванию носителей сведений, необоснованно
засекреченных подчиненными им должностными лицами.
Руководители государственных архивов Российской Федерации наделяются полномочиями
по рассекречиванию носителей сведений, составляющих государственную тайну, находящихся на
хранении в закрытых фондах этих архивов, в случае делегирования им таких полномочий
организацией - фондообразователем или ее правопреемником. В случае ликвидации организации
- фондообразователя и отсутствия ее правопреемника вопрос о порядке рассекречивания
носителей сведений, составляющих государственную тайну, рассматривается межведомственной
комиссией по защите государственной тайны.
Временный порядок рассекречивания и продления сроков засекречивания носителей сведений,
составляющих государственную тайну, находящихся в закрытых фондах государственных
архивов и центрах хранения документации, утвержденный решением Гостехкомиссии РФ от 28
июня 1994 г. N 16
Статья 15. Исполнение запросов граждан, предприятий, учреждений, организаций и органов
государственной власти Российской Федерации о рассекречивании сведений
Граждане, предприятия, учреждения, организации и органы государственной власти
Российской Федерации вправе обратиться в органы государственной власти, на предприятия, в
учреждения, организации, в том числе в государственные архивы, с запросом о рассекречивании
сведений, отнесенных к государственной тайне.
Органы государственной власти, предприятия, учреждения, организации, в том числе
государственные архивы, получившие такой запрос, обязаны в течение трех месяцев рассмотреть
его и дать мотивированный ответ по существу запроса. Если они не правомочны решить вопрос о
рассекречивании запрашиваемых сведений, то запрос в месячный срок с момента его поступления
передается в орган государственной власти, наделенный такими полномочиями, либо в
межведомственную комиссию по защите государственной тайны, о чем уведомляются граждане
предприятия, учреждения, организации и органы государственной власти Российской Федерации,
подавшие запрос.
Уклонение должностных лиц от рассмотрения запроса по существу влечет за собой
административную (дисциплинарную) ответственность в соответствии с действующим
законодательством.
336
Обоснованность отнесения сведений к государственной тайне может быть обжалована в
суд. При признании судом необоснованности засекречивания сведений эти сведения подлежат
рассекречиванию в установленном настоящим Законом порядке.
Раздел V. Распоряжение сведениями, составляющими государственную тайну
Статья 16. Взаимная передача сведений, составляющих государственную тайну, органами
государственной власти, предприятиями, учреждениями и организациями
Взаимная передача сведений, составляющих государственную тайну, осуществляется
органами государственной власти, предприятиями, учреждениями и организациями, не
состоящими в отношениях подчиненности и не выполняющими совместных работ, с санкции
органа государственной власти, в распоряжении которого в соответствии со статьей 9 настоящего
Закона находятся эти сведения.
Органы государственной власти, предприятия, учреждения и организации, запрашивающие
сведения, составляющие государственную тайну, обязаны создать условия, обеспечивающие
защиту этих сведений. Их руководители несут персональную ответственность за несоблюдение
установленных ограничений по ознакомлению со сведениями, составляющими государственную
тайну.
Обязательным условием для передачи сведений, составляющих государственную тайну,
органам государственной власти, предприятиям, учреждениям и организациям является
выполнение ими требований, предусмотренных в статье 27 настоящего Закона.
Информация об изменениях:Часть первая статьи 17 настоящего Закона вводится в действие не
позднее 1 января 1995 г.
Статья 17. Передача сведений, составляющих государственную тайну, в связи с выполнением
совместных и других работ
Передача сведений, составляющих государственную тайну, предприятиям, учреждениям,
организациям или гражданам в связи с выполнением совместных и других работ осуществляется
заказчиком этих работ с разрешения органа государственной власти, в распоряжении которого в
соответствии со статьей 9 настоящего Закона находятся соответствующие сведения, и только в
объеме, необходимом для выполнения этих работ. При этом до передачи сведений,
составляющих государственную тайну, заказчик обязан убедиться в наличии у предприятия,
учреждения или организации лицензии на проведение работ с использованием сведений
соответствующей степени секретности, а у граждан - соответствующего допуска.
Предприятия, учреждения или организации, в том числе и негосударственных форм
собственности, при проведении совместных и других работ (получении государственных заказов) и
возникновении в связи с этим необходимости в использовании сведений, составляющих
государственную тайну, могут заключать с государственными предприятиями, учреждениями или
организациями договоры об использовании услуг их структурных подразделений по защите
государственной тайны, о чем делается соответствующая отметка в лицензиях на проведение
работ
с
использованием
сведений,
составляющих
государственную
тайну,
обеих
договаривающихся сторон.
В договоре на проведение совместных и других работ, заключаемом в установленном
законом порядке, предусматриваются взаимные обязательства сторон по обеспечению
сохранности сведений, составляющих государственную тайну, как в процессе проведения работ,
так и по их завершении, а также условия финансирования работ (услуг) по защите сведений,
составляющих государственную тайну.
Организация контроля за эффективностью защиты государственной тайны при проведении
совместных и других работ возлагается на заказчика этих работ в соответствии с положениями
заключенного сторонами договора.
При нарушении исполнителем в ходе совместных и других работ взятых на себя
обязательств по защите государственной тайны заказчик вправе приостановить выполнение
заказа до устранения нарушений, а при повторных нарушениях - поставить вопрос об
аннулировании заказа и лицензии на проведение работ с использованием сведений,
составляющих государственную тайну, и о привлечении виновных лиц к ответственности. При
этом материальный ущерб, нанесенный исполнителем государству в лице заказчика, подлежит
взысканию в соответствии с действующим законодательством.
Информация об изменениях:Федеральным законом от 1 декабря 2007 г. N 294-ФЗ в статью 18
настоящего Закона внесены изменения
См. текст статьи в предыдущей редакции
Статья 18. Передача сведений, составляющих государственную тайну, другим государствам или
международным организациям
337
Решение о передаче сведений, составляющих государственную тайну, другим
государствам или международным организациям принимается Правительством Российской
Федерации при наличии экспертного заключения межведомственной комиссии по защите
государственной тайны о возможности передачи этих сведений.
Положение о подготовке к передаче сведений, составляющих государственную тайну, другим
государствам
или
международным
организациям,
утвержденное
постановлением
Правительства РФ от 2 августа 1997 г. N 973
Обязательства принимающей стороны по защите передаваемых ей сведений
предусматриваются заключаемым с ней договором (соглашением).
Статья 19. Защита сведений, составляющих государственную тайну, при изменении функций
субъектов правоотношений
Органы государственной власти, предприятия, учреждения и организации, располагающие
сведениями, составляющими государственную тайну, в случаях изменения их функций, форм
собственности, ликвидации или прекращения работ с использованием сведений, составляющих
государственную тайну, обязаны принять меры по обеспечению защиты этих сведений и их
носителей. При этом носители сведений, составляющих государственную тайну, в установленном
порядке уничтожаются, сдаются на архивное хранение либо передаются:
правопреемнику органа государственной власти, предприятия, учреждения или
организации, располагающих сведениями, составляющими государственную тайну, если этот
правопреемник имеет полномочия по проведению работ с использованием указанных сведений;
органу государственной власти, в распоряжении которого в соответствии со статьей 9
настоящего Закона находятся соответствующие сведения;
другому органу государственной власти, предприятию, учреждению или организации по
указанию межведомственной комиссии по защите государственной тайны.
Раздел VI. Защита государственной тайны
Информация об изменениях:Федеральным законом от 29 июня 2004 г. N 58-ФЗ в статью 20
настоящего Закона внесены изменения
Статья 20. Органы защиты государственной тайны
К органам защиты государственной тайны относятся:
межведомственная комиссия по защите государственной тайны;
федеральный орган исполнительной власти, уполномоченный в области обеспечения
безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны,
федеральный орган исполнительной власти, уполномоченный в области внешней разведки,
федеральный орган исполнительной власти, уполномоченный в области противодействия
техническим разведкам и технической защиты информации, и их территориальные органы;
органы государственной власти, предприятия, учреждения и организации и их структурные
подразделения по защите государственной тайны.
Межведомственная комиссия по защите государственной тайны является коллегиальным
органом, координирующим деятельность органов государственной власти по защите
государственной тайны в интересах разработки и выполнения государственных программ
нормативных и методических документов, обеспечивающих реализацию законодательства
Российской Федерации о государственной тайне. Функции межведомственной комиссии по защите
государственной тайны и ее надведомственные полномочия реализуются в соответствии с
Положением о межведомственной комиссии по защите государственной тайны, утверждаемым
Президентом Российской Федерации.
Федеральный орган исполнительной власти, уполномоченный в области обеспечения
безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны,
федеральный орган исполнительной власти, уполномоченный в области внешней разведки,
федеральный орган исполнительной власти, уполномоченный в области противодействия
техническим разведкам и технической защиты информации, и их территориальные органы
организуют и обеспечивают защиту государственной тайны в соответствии с функциями,
возложенными на них законодательством Российской Федерации.
Органы государственной власти, предприятия, учреждения и организации обеспечивают
защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них
задачами и в пределах своей компетенции. Ответственность за организацию защиты сведений,
составляющих государственную тайну, в органах государственной власти, на предприятиях, в
учреждениях и организациях возлагается на их руководителей. В зависимости от объема работ с
использованием сведений, составляющих государственную тайну, руководителями органов
государственной власти предприятий, учреждений и организаций создаются структурные
338
подразделения по защите государственной тайны, функции которых определяются указанными
руководителями в соответствии с нормативными документами, утверждаемыми Правительством
Российской Федерации, и с учетом специфики проводимых ими работ.
Защита государственной тайны является видом основной деятельности органа
государственной власти, предприятия, учреждения или организации.
:Постановлением Правительства РФ от 3 марта 1997 г. N 242 на Федеральную службу
безопасности Российской Федерации возложено выполнение функций органа Российской
Федерации, ответственного за осуществление мероприятий и процедур в области защиты
информации и обеспечение надзора в целях защиты информации, имеющей гриф секретности,
которой обмениваются Российская Федерация и НАТО
Информация об изменениях:Федеральным законом от 18 июля 2009 г. N 180-ФЗ в статью 21
настоящего Закона внесены изменения, вступающие в силу по истечении девяноста дней после
дня официального опубликования названного Федерального закона
:В соответствии с постановлением Конституционного Суда РФ от 27 марта 1996 г. N 8-П
распространение положений статьи 21 настоящего Закона на адвокатов, участвующих в
качестве защитников в уголовном судопроизводстве, и отстранение их от участия в деле в
связи с отсутствием допуска к государственной тайне не соответствует Конституции
Российской Федерации, ее статьям 48 и 123 (часть 3)
Определение Конституционного Суда РФ от 11 марта 1999 г., определение Конституционного
Суда РФ от 10 ноября 2002 г. N 314-О, определение Конституционного Суда РФ от 10 ноября
2002 г. N 293-О
Статья 21. Допуск должностных лиц и граждан к государственной тайне
Допуск должностных лиц и граждан Российской Федерации к государственной тайне
осуществляется в добровольном порядке.
Допуск лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа
иностранных граждан, эмигрантов и реэмигрантов к государственной тайне осуществляется в
порядке, устанавливаемом Правительством Российской Федерации.
Допуск должностных лиц и граждан к государственной тайне предусматривает:
Инструкция о порядке допуска должностных лиц и граждан РФ к государственной тайне,
утвержденная постановлением Правительства РФ от 6 февраля 2010 г. N 63
принятие на себя обязательств перед государством по нераспространению доверенных им
сведений, составляющих государственную тайну;
согласие на частичные, временные ограничения их прав в соответствии со статьей 24
настоящего Закона;
письменное согласие на проведение в отношении их полномочными органами
проверочных мероприятий;
определение видов, размеров и порядка предоставления социальных гарантий,
предусмотренных настоящим Законом;
ознакомление с нормами законодательства Российской Федерации о государственной
тайне, предусматривающими ответственность за его нарушение;
принятие решения руководителем органа государственной власти, предприятия,
учреждения или организации о допуске оформляемого лица к сведениям, составляющим
государственную тайну.
В отношении лиц, замещающих должности, предусмотренные Перечнем должностей, при
замещении которых лица считаются допущенными к государственной тайне, проводятся
мероприятия, предусмотренные в части третьей настоящей статьи.
Объем проверочных мероприятий зависит от степени секретности сведений, к которым
будет допускаться оформляемое лицо. Проверочные мероприятия осуществляются в
соответствии с законодательством Российской Федерации. Целью проведения проверочных
мероприятий является выявление оснований, предусмотренных статьей 22 настоящего Закона.
Для должностных лиц и граждан, допущенных к государственной тайне на постоянной
основе, устанавливаются следующие социальные гарантии:
процентные надбавки к заработной плате в зависимости от степени секретности сведений,
к которым они имеют доступ;
О выплате процентных надбавок должностным лицам и гражданам, допущенным к
государственной тайне, см. справку
преимущественное право при прочих равных условиях на оставление на работе при
проведении органами государственной власти, предприятиями, учреждениями и организациями
организационных и (или) штатных мероприятий.
Для сотрудников структурных подразделений по защите государственной тайны
дополнительно к социальным гарантиям, установленным для должностных лиц и граждан,
339
допущенных к государственной тайне на постоянной основе, устанавливается процентная
надбавка к заработной плате за стаж работы в указанных структурных подразделениях.
Взаимные обязательства администрации и оформляемого лица отражаются в трудовом
договоре (контракте). Заключение трудового договора (контракта) до окончания проверки
компетентными органами не допускается.
Устанавливается три формы допуска к государственной тайне должностных лиц и граждан,
соответствующие трем степеням секретности сведений, составляющих государственную тайну: к
сведениям особой важности, совершенно секретным или секретным. Наличие у должностных лиц
и граждан допуска к сведениям более высокой степени секретности является основанием для
доступа их к сведениям более низкой степени секретности.
Сроки, обстоятельства и порядок переоформления допуска граждан к государственной
тайне устанавливаются нормативными документами, утверждаемыми Правительством Российской
Федерации.
Инструкция по организации работ по оформлению допуска к государственной тайне
руководителей саморегулируемых организаций арбитражных управляющих и арбитражных
управляющих, утвержденную приказом Минюста РФ от 4 февраля 2005 г. N 10
Порядок допуска должностных лиц и граждан к государственной тайне в условиях
объявленного чрезвычайного положения может быть изменен Президентом Российской
Федерации.
В соответствии с определением Конституционного Суда РФ от 10 ноября 2002 г. N 314-О
статья 21(1) настоящего Закона не может применяться судами, другими органами и
должностными лицами в качестве основания для отстранения адвоката, являющегося
представителем истца, от участия в рассмотрении дела судом общей юрисдикции в
процедуре гражданского судопроизводства в связи с отсутствием у него допуска к
государственной тайне
Статья 21(1). Особый порядок допуска к государственной тайне
Члены Совета Федерации, депутаты Государственной Думы, судьи на период исполнения
ими своих полномочий, а также адвокаты, участвующие в качестве защитников в уголовном
судопроизводстве по делам, связанным со сведениями, составляющими государственную тайну,
допускаются к сведениям, составляющим государственную тайну, без проведения проверочных
мероприятий, предусмотренных статьей 21 настоящего Закона.
Указанные лица предупреждаются о неразглашении государственной тайны, ставшей им
известной в связи с исполнением ими своих полномочий, и о привлечении их к ответственности в
случае ее разглашения, о чем у них отбирается соответствующая расписка.
Сохранность государственной тайны в таких случаях гарантируется путем установления
ответственности указанных лиц федеральным законом.
Информация об изменениях:Федеральным законом от 29 июня 2004 г. N 58-ФЗ в статью 22
настоящего Закона внесены изменения
Статья 22. Основания для отказа должностному лицу или гражданину в допуске к государственной
тайне
Основаниями для отказа должностному лицу или гражданину в допуске к государственной
тайне могут являться:
признание его судом недееспособным, ограниченно дееспособным или рецидивистом,
нахождение его под судом или следствием за государственные и иные тяжкие преступления,
наличие у него неснятой судимости за эти преступления;
наличие у него медицинских противопоказаний для работы с использованием сведений,
составляющих государственную тайну, согласно перечню, утверждаемому федеральным органом
исполнительной власти, уполномоченным в области здравоохранения и социального развития;
Согласно правовой позиции Конституционного Суда РФ, изложенной в Определении от 7
февраля 2008 г. N 295-О-О, положение абзаца четвертого части первой статьи 22
настоящего Закона не допускает отказ претенденту на должность судьи в рекомендации
квалификационной коллегии судей на должность судьи на том основании, что его близкие
родственники постоянно проживают за границей и (или) оформляют документы для выезда на
постоянное жительство в другие государства
постоянное проживание его самого и (или) его близких родственников за границей и (или)
оформление указанными лицами документов для выезда на постоянное жительство в другие
государства;
выявление в результате проверочных мероприятий действий оформляемого лица,
создающих угрозу безопасности Российской Федерации;
340
уклонение его от проверочных мероприятий и (или) сообщение им заведомо ложных
анкетных данных.
Решение об отказе должностному лицу или гражданину в допуске к государственной тайне
принимается руководителем органа государственной власти, предприятия, учреждения или
организации в индивидуальном порядке с учетом результатов проверочных мероприятий.
Гражданин имеет право обжаловать это решение в вышестоящую организацию или в суд.
Статья 23. Условия прекращения допуска должностного лица или гражданина к государственной
тайне
Допуск должностного лица или гражданина к государственной тайне может быть
прекращен по решению руководителя органа государственной власти, предприятия, учреждения
или организации в случаях:
расторжения с ним трудового договора (контракта) в связи с проведением
организационных и (или) штатных мероприятий;
однократного нарушения им взятых на себя предусмотренных трудовым договором
(контрактом) обязательств, связанных с защитой государственной тайны;
возникновения обстоятельств, являющихся согласно статье 22 настоящего Закона
основанием для отказа должностному лицу или гражданину в допуске к государственной тайне.
Прекращение допуска должностного лица или гражданина к государственной тайне
является дополнительным основанием для расторжения с ним трудового договора (контракта),
если такие условия предусмотрены в трудовом договоре (контракте).
Прекращение допуска к государственной тайне не освобождает должностное лицо или
гражданина от взятых ими обязательств по неразглашению сведений, составляющих
государственную тайну.
Решение администрации о прекращении допуска должностного лица или гражданина к
государственной тайне и расторжении на основании этого с ним трудового договора (контракта)
может быть обжаловано в вышестоящую организацию или в суд.
О конституционно-правовом смысле взаимосвзязанных положений подпункта 1 статьи 15
Федерального закона от 15 августа 1996 г. N 114-ФЗ и статьи 24 настоящего Закона см.
постановление Конституционного Суда РФ от 7 июня 2012 г. N 14-П
Статья 24. Ограничения прав должностного лица или гражданина, допущенных или ранее
допускавшихся к государственной тайне
Должностное лицо или гражданин, допущенные или ранее допускавшиеся к
государственной тайне, могут быть временно ограничены в своих правах. Ограничения могут
касаться:
права выезда за границу на срок, оговоренный в трудовом договоре (контракте) при
оформлении допуска гражданина к государственной тайне;
права на распространение сведений, составляющих государственную тайну, и на
использование открытий и изобретений, содержащих такие сведения;
права на неприкосновенность частной жизни при проведении проверочных мероприятий в
период оформления допуска к государственной тайне.
Статья 25. Организация доступа должностного лица или гражданина к сведениям, составляющим
государственную тайну
Организация доступа должностного лица или гражданина к сведениям, составляющим
государственную тайну, возлагается на руководителя соответствующего органа государственной
власти, предприятия, учреждения или организации, а также на их структурные подразделения по
защите государственной тайны. Порядок доступа должностного лица или гражданина к сведениям,
составляющим государственную
тайну,
устанавливается
нормативными документами,
утверждаемыми Правительством Российской Федерации.
Руководители органов государственной власти, предприятий, учреждений и организаций
несут персональную ответственность за создание таких условий, при которых должностное лицо
или гражданин знакомятся только с теми сведениями, составляющими государственную тайну, и в
таких объемах, которые необходимы ему для выполнения его должностных (функциональных)
обязанностей.
Статья 26. Ответственность за нарушение законодательства Российской Федерации о
государственной тайне
Должностные лица и граждане, виновные в нарушении законодательства Российской
Федерации о государственной тайне, несут уголовную, административную, гражданско-правовую
или дисциплинарную ответственность в соответствии с действующим законодательством.
341
Соответствующие органы государственной власти и их должностные лица основываются
на подготовленных в установленном порядке экспертных заключениях об отнесении незаконно
распространенных сведений к сведениям, составляющим государственную тайну.
Защита прав и законных интересов граждан, органов государственной власти,
предприятий, учреждений и организаций в сфере действия настоящего Закона осуществляется в
судебном или ином порядке, предусмотренном настоящим Законом.
Информация об изменениях:Часть первая статьи 27 настоящего Закона вводится в действие не
позднее 1 января 1995 г.
Статья 27. Допуск предприятий, учреждений и организаций к проведению работ, связанных с
использованием сведений, составляющих государственную тайну
Допуск предприятий, учреждений и организаций к проведению работ, связанных с
использованием сведений, составляющих государственную тайну, созданием средств защиты
информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите
государственной тайны, осуществляется путем получения ими в порядке, устанавливаемом
Правительством Российской Федерации, лицензий на проведение работ со сведениями
соответствующей степени секретности.
Лицензия на проведение указанных работ выдается на основании результатов
специальной экспертизы предприятия, учреждения и организации и государственной аттестации
их руководителей, ответственных за защиту сведений, составляющих государственную тайну,
расходы по проведению которых относятся на счет предприятия, учреждения, организации,
получающих лицензию.
Лицензия на проведение работ с использованием сведений, составляющих
государственную тайну, выдается предприятию, учреждению, организации при выполнении ими
следующих условий:
выполнение требований нормативных документов, утверждаемых Правительством
Российской Федерации, по обеспечению защиты сведений, составляющих государственную тайну,
в процессе выполнения работ, связанных с использованием указанных сведений;
наличие в их структуре подразделений по защите государственной тайны и специально
подготовленных сотрудников для работы по защите информации, количество и уровень
квалификации которых достаточны для обеспечения защиты государственной тайны;
наличие у них сертифицированных средств защиты информации.
Информация об изменениях:Федеральным законом от 19 июля 2011 г. N 248-ФЗ в статью 28
настоящего Закона внесены изменения, вступающие в силу по истечении девяноста дней после
дня официального опубликования названного Федерального закона
Статья 28. Порядок сертификации средств защиты информации
Средства защиты информации должны иметь сертификат, удостоверяющий их
соответствие требованиям по защите сведений соответствующей степени секретности.
Организация сертификации средств защиты информации возлагается на федеральный
орган исполнительной власти, уполномоченный в области противодействия техническим
разведкам и технической защиты информации, федеральный орган исполнительной власти,
уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной
власти, уполномоченный в области обороны, в соответствии с функциями, возложенными на них
законодательством Российской Федерации. Сертификация осуществляется в соответствии с
настоящим Законом в порядке, установленном Правительством Российской Федерации.
Координация работ по организации сертификации средств защиты информации
возлагается на межведомственную комиссию по защите государственной тайны.
Раздел VII. Финансирование мероприятий по защите государственной тайны
Информация об изменениях:Федеральным законом от 22 августа 2004 г. N 122-ФЗ в статью 29
настоящего Закона внесены изменения, вступающие в силу с 1 января 2005 г.
Статья 29. Финансирование мероприятий по защите государственной тайны
Финансирование деятельности органов государственной власти, бюджетных предприятий,
учреждений и организаций и их структурных подразделений по защите государственной тайны, а
также социальных гарантий, предусмотренных настоящим Законом, осуществляется за счет
средств федерального бюджета, средств бюджетов субъектов Российской Федерации и средств
местных бюджетов, а остальных предприятий, учреждений и организаций - за счет средств,
получаемых от их основной деятельности при выполнении работ, связанных с использованием
сведений, составляющих государственную тайну.
342
Средства на финансирование государственных программ в области защиты
государственной тайны предусматриваются в федеральном бюджете Российской Федерации
отдельной строкой.
Контроль за расходованием финансовых средств, выделяемых на проведение
мероприятий по защите государственной тайны, осуществляется руководителями органов
государственной власти, органов местного самоуправления, предприятий, учреждений и
организаций, заказчиками работ, а также специально уполномоченными на то представителями
Министерства финансов Российской Федерации. Если осуществление этого контроля связано с
доступом к сведениям, составляющим государственную тайну, то перечисленные лица должны
иметь допуск к сведениям соответствующей степени секретности.
Раздел VIII. Контроль и надзор за обеспечением защиты государственной тайны
Статья 30. Контроль за обеспечением защиты государственной тайны
Контроль за обеспечением защиты государственной тайны осуществляют Президент
Российской Федерации, Правительство Российской Федерации в пределах полномочий,
определяемых Конституцией Российской Федерации, федеральными конституционными законами
и федеральными законами.
Информация об изменениях:Федеральным законом от 18 июля 2011 г. N 242-ФЗ настоящий Закон
дополнен статьей 30.1, вступающей в силу с 1 августа 2011 г.
Статья 30.1. Федеральный государственный контроль за обеспечением защиты государственной
тайны
Федеральный государственный контроль за обеспечением защиты государственной тайны
осуществляется уполномоченными федеральными органами исполнительной власти (далее органы государственного контроля) согласно их компетенции в порядке, установленном
Правительством Российской Федерации.
К отношениям, связанным с осуществлением федерального государственного контроля за
обеспечением защиты государственной тайны, организацией и проведением проверок на
предприятиях, в учреждениях и организациях (далее для целей настоящей статьи - юридические
лица), применяются положения Федерального закона от 26 декабря 2008 года N 294-ФЗ "О защите
прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного
контроля (надзора) и муниципального контроля" с учетом особенностей организации и проведения
проверок, установленных частями третьей - девятой настоящей статьи.
О проведении плановой проверки юридическое лицо уведомляется не позднее трех
рабочих дней до ее начала путем направления органом государственного контроля письменного
уведомления.
Основанием для проведения внеплановой выездной проверки является:
истечение срока исполнения юридическим лицом выданного органом государственного
контроля предписания об устранении выявленного нарушения требований законодательства
Российской Федерации в области защиты государственной тайны;
поступление в органы государственного контроля информации, указывающей на признаки
нарушения требований законодательства Российской Федерации о государственной тайне;
наличие предписания (приказа, распоряжения или иного распорядительного документа)
руководителя (уполномоченного им должностного лица) органа государственного контроля о
проведении внеплановой проверки, изданного в соответствии с поручением Президента
Российской Федерации или Правительства Российской Федерации либо на основании требования
прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по
поступившим в органы прокуратуры материалам и обращениям.
Срок проведения проверки составляет не более чем тридцать рабочих дней со дня начала
ее проведения.
В исключительных случаях, связанных с необходимостью проведения сложных и (или)
длительных исследований, испытаний, специальных экспертиз и расследований на основании
мотивированных предложений должностных лиц органа государственного контроля, проводящих
проверку, срок проведения проверки может быть продлен руководителем органа государственного
контроля (уполномоченным им должностным лицом), но не более чем на двадцать рабочих дней.
Выездная проверка юридических лиц проводится на основании предписания (приказа,
распоряжения или иного распорядительного документа), подписанного руководителем
(уполномоченным им должностным лицом) органа государственного контроля.
Внеплановая выездная проверка, основание проведения которой указано в абзаце третьем
части четвертой настоящей статьи, проводится без предварительного уведомления.
343
Информация об организации проверок, проводимых органами государственного контроля,
в том числе о планировании, проведении и результатах таких проверок, в органы прокуратуры не
направляется.
Информация об изменениях: Федеральным законом от 18 июля 2011 г. N 242-ФЗ в статью 31
настоящего Закона внесены изменения, вступающие в силу с 1 августа 2011 г.
Статья 31. Межведомственный и ведомственный контроль
Межведомственный контроль за обеспечением защиты государственной тайны в органах
государственной власти осуществляют федеральный орган исполнительной власти,
уполномоченный в области обеспечения безопасности, федеральный орган исполнительной
власти, уполномоченный в области обороны, федеральный орган исполнительной власти,
уполномоченный в области внешней разведки, федеральный орган исполнительной власти,
уполномоченный в области противодействия техническим разведкам и технической защиты
информации, и их территориальные органы, на которые эта функция возложена
законодательством Российской Федерации.
Органы государственной власти, наделенные в соответствии с настоящим Законом
полномочиями по распоряжению сведениями, составляющими государственную тайну, обязаны
контролировать эффективность защиты этих сведений во всех подчиненных и подведомственных
им органах государственной власти, на предприятиях, в учреждениях и организациях,
осуществляющих работу с ними.
Контроль за обеспечением защиты государственной тайны в Администрации Президента
Российской Федерации, в аппаратах палат Федерального Собрания, Правительства Российской
Федерации организуется их руководителями.
Контроль за обеспечением защиты государственной тайны в судебных органах и органах
прокуратуры организуется руководителями этих органов.
Статья 32. Прокурорский надзор
Надзор за соблюдением законодательства при обеспечении защиты государственной
тайны и законностью принимаемых при этом решений осуществляют Генеральный прокурор
Российской Федерации и подчиненные ему прокуроры.
Доступ лиц, осуществляющих прокурорский надзор, к сведениям, составляющим
государственную тайну, осуществляется в соответствии со статьей 25 настоящего Закона.
Президент Российской Федерации
Б.Ельцин
Москва, Дом Советов России
21 июля 1993 года
N 5485-I
344
Содержание
ТЕМА 1. Основы обеспечения информационной безопасности .................................... 3
ТЕМА 2. Задачи,
методы
и средства обеспечения информационной
безопасности .............................................................................................................................. 28
ТЕМА 3. Архитектура систем защиты информации ......................................................... 47
ТЕМА 4. Организация и обеспечение работ по защите информации......................... 70
ТЕМА 5. Методика регламентации состава конфиденциальных документов .......... 91
ТЕМА 6. Организационные меры по защите информации .......................................... 106
ТЕМА
7.
Особенности
системы
организационной
защиты
информации,
составляющей государственную тайну ............................................................................. 121
ТЕМА 8. Организация внутриобъектового
и пропускного
режимов на
предприятии ............................................................................................................................. 150
Тема 9. Организация охраны территорий, зданий, помещений и персонала ......... 180
Тема 10. Организация защиты информации при осуществлении рекламной и
публикаторской деятельности ............................................................................................. 203
Тема 11. Допуск предприятий к проведению работ со сведениями, составляющими
государственную тайну ......................................................................................................... 218
Тема 12. Организация контроля за состоянием защиты конфиденциальной
информации на предприятии............................................................................................... 228
Тема 13. Организация служебного расследования по фактам разглашения
конфиденциальной информации или утраты носителей информации .................... 237
Тема 14. Планирование мероприятий по организационной защите информации на
предприятии ............................................................................................................................. 248
Тема 15. Организация аналитической работы в области защиты информации на
предприятии ............................................................................................................................. 259
Контрольный тест по курсу ................................................................................................... 278
Список литературы ................................................................................................................. 295
Приложения .............................................................................................................................. 296
345
Андреева Анна Викторовна
Учебно-методическое пособие по курсу
«Организационная защита информации»
Подписано в печать 31.08.2012 г. Формат 60х841/16.
Печать офсетная. Бумага офсетная №1. Гарнитура Times.
Печ. л. 21,6. Тираж 200 экз.
Отпечатано в типографии
«Универсум»
214014, г. Смоленск, ул. Герцена, 2
Тел./факс: (4812) 64-70-49
346