- •Организационное обеспечение информационной безопасности
- •Введение
- •Раздел 1. Основы организации обеспечения информационной безопасности и зи
- •1.1. Основные положения концепции обеспечения информационной безопасности рф
- •1.2. Распределение полномочий по обеспечению информационной безопасности в рф
- •1.3. Научно-технические проблемы, требующие скоординированных действий различных органов государственной власти
- •1.4. Технологическая схема организации зи
- •1.4.1. Организационно-правовое обеспечение информационной безопасности
- •1.4.2. Инженерно-технические методы и средства защиты информации
- •1.4.3. Программные и программно-аппаратные методы и средства обеспечения информационной безопасности
- •1.5. Сбор информации о защищаемых объектах
- •1.6. Оценка состояния безопасности информации
- •1.7. Определение целей и задач зи. Принятие решений по зи
- •1.8. Планирование и организация выполнения мероприятий по зи
- •Раздел 2. Система документов в области обеспечения информационной безопасности и защиты информации
- •2.1. Обоснование необходимой и достаточной системы документов в области зи. Общегосударственные документы
- •2.2. Организационно-распорядительные документы
- •2.3. Специальные нормативные документы фстэк России по вопросам защиты информации от технических разведок, несанкционированного доступа и несанкционированных воздействий на информацию
- •2.3.1. Комплексная защита
- •2.3.2. Физическая защита объектов
- •2.3.3. Противодействие техническим разведкам
- •2.3.4. Защита информации от ее утечки по техническим каналам
- •2.3.5. Защита информации от несанкционированного доступа
- •2.3.6. Нормативные документы государственной системы стандартизации
- •Раздел 3. Определение целей и задач обеспечения информационной безопасности и защиты информации
- •3.2. Обоснование целей и задач зи. Показатели эффективности достижения целей и решения задач зи
- •3.3. Обоснование перечней охраняемых сведений об объектах защиты. Обоснование перечней защищаемых информационных ресурсов. Обоснование требований по защите объектов
- •Раздел 4. Лицензирование деятельности в области зи
- •4.1. Правовые основы лицензирование деятельности в области зи
- •4.2. Структура системы лицензирования, функции ее органов
- •4.2.1.Организационная структура системы государственного лицензирования деятельности предприятий в области защиты информации
- •4.2.2. Государственные органы по лицензированию в пределах своей компетенции осуществляют следующие функции
- •4.2.3. Лицензионные центры осуществляют следующие функции
- •4.2.4. Лицензиаты обязаны
- •4.3. Порядок проведения лицензирования. Распределений полномочий по лицензированию деятельности в области зи между федеральными органами государственной власти
- •4.3.1. Порядок проведения лицензирования предприятий-заявителей в области защиты информации включает следующие действия
- •4.3.1.1. Экспертиза предприятия-заявителя
- •4.3.1.2. Заявление на получение лицензии
- •4.3.1.3. Оформление лицензии и ее выдача
- •4.3.1.4. Рассмотрение спорных вопросов
- •4.3.1.5. Досрочное приостановление или прекращение действия лицензии
- •4.3.1.6. Учёт лицензиатов
- •4.3.2. Контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации
- •Раздел 5. Сертификация средств зи
- •5.1. Правовые основы сертификации зи
- •5.2. Структура системы сертификации, функции ее органов. Распределений полномочий по сертификации средств зи между федеральными органами государственной власти
- •5.3. Порядок сертификации зи
- •Раздел 6. Аттестация объектов информатизации по требованиям безопасности информации
- •6.1. Правовые основы аттестации объектов информатизации по требованиям безопасности информации
- •6.2. Структура системы аттестации, функции ее органов. Распределений полномочий по аттестации между федеральными органами государственной власти
- •6.3. Порядок аттестации объектов информатизации органов управления, промышленных объектов, систем информатизации и связи
- •Раздел 7. Подготовка (переподготовка) и повышение квалификации специалистов в области зи
- •7.1. Правовые основы подготовки специалистов в области зи
- •7.2. Система учебных заведений. Перечень специальностей. Основные нормативные документы по подготовке специалистов в области зи
- •7.2.1. Специальность 090102 "Компьютерная безопасность"
- •7.2.2. Специальность 090105 “Комплексное обеспечение информационной безопасности”
- •7.2.3. Специальность 090106 “Информационная безопасность телекоммуникационных систем”
- •Раздел 8. Организация контроля состояния зи
- •8.1. Правовые основы контроля состояния зи
- •8.2. Основные организационно-распорядительные и нормативные документы по контролю состояния зи
- •8.3. Цели и задачи контроля
- •8.4. Формы контроля: межведомственный контроль; ведомственный контроль; контроль, осуществляемый собственником информации
- •239 8.5. Органы контроля
- •8.6. Контроль организации и эффективности зи
- •8.7. Нарушения установленных требований и норм зи
- •Раздел 9. Организация зи на объектах органов государственной власти и управления
- •9.1. Требования к содержанию Руководств по зи на объекте
- •9.2. Цели и задачи зи. Определение защищаемых информационных ресурсов
- •9.3. Оценка возможностей технических разведок и других источников угроз безопасности информации
- •9.4. Разработка организационных и технических мероприятий по зи
- •9.5. Аттестация объектов информатизации по требованиям безопасности информации.
- •Раздел 10. Организация зи в системах и средствах информатизации и связи
- •10.1. Объекты защиты. Цели и задачи зи
- •10.2. Оценка возможностей технических разведок и других источников угроз безопасности информации
- •10.3. Разработка организационных и технических мероприятий по зи
- •10.4. Контроль состояния зи в системах и средствах информатизации и связи
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14.
2.2. Организационно-распорядительные документы
Организационно-распорядительные документы, регламентируют: - защиту объекта информатизации от внешних воздействующих факторов, защиту зданий, помещений и контролируемых зон объекта информатизации;
- общесистемные требования;
- особенности защиты сетей передачи данных;
- защиту объектов информатизации от несанкционированного доступа к информации и от воздействий вредоносных программ; - защиту объектов информатизации от утечки информации по техническим каналам;
- требования к оформлению документации и документов на объект информатизации в виде приказов, инструкций, методических разработок, наставлений.
Организационно-распорядительные документы определяют состав и регламентируют деятельность соответствующих органов и служб при организации и осуществлении защиты государственной тайны.
По характеру регламентируемых вопросов (решаемых задач) и продолжительности действия организационно-распорядительные документы подразделяют на два вида:
основополагающие (руководящие) документы;
распорядительные документы (документы оперативного управления).
Основополагающие (руководящие) документы помимо самостоятельного использования служат основой при разработке нормативных, плановых и информационных документов.
Основополагающие (руководящие) документы по защите государственной тайны являются в своем большинстве подзаконными актами, детализирующими и раскрывающими положения правовых документов. Они устанавливают основные направления, единые принципы, порядок организации защиты государственной тайны соответствующими органами и службами с приведением их долговременных задач, функций, прав, обязанностей и мер ответственности.
Основополагающие (руководящие) документы издаются соответствующими органами государственного управления, ответственными за организацию защиты государственной тайны, и являются обязательными в пределах установленной при их утверждении сферы действия и области распространения.
Виды основополагающих документов по
защите гос. тайны
Концепции
Наставления
Положения
Инструкции
Руководства
Правила
Рис. 7. Виды основополагающих документов по защите гос. тайны
В концепциях по защите государственной тайны на основе правовых документов формируются:
направления государственной политики в области защиты государственной тайны;
основные цели и задачи защиты;
виды и средства технических разведок, другие угрозы безопасности государственной тайны, от которых необходимо защищать информацию;
принципы осуществления защиты, типовые методы и способы защиты;
основные направления технической политики в создании средств защиты информации и контроля ее эффективности;
принципы отнесения сведений к государственной тайне и засекречивания этих сведений;
принципы оценки эффективности защиты государственной тайны, показатели эффективности защиты.
Положения по защите государственной тайны издаются на основе правовых актов и принятых концепций по защите и детализируют указанные документы, в основном, по вопросам организации защиты государственной тайны в конкретном органе государственной власти (ведомстве) и, в частности, регламентируют:
основные направления работ по защите государственной тайны;
структуру органов и служб, ответственных за организацию и осуществление защиты государственной тайны, их права и обязанности;
порядок организации и проведения типовых работ по защите государственной тайны для основных объектов защиты;
финансово-экономические вопросы обеспечения работ по защите государственной тайны;
вопросы государственного лицензирования в области защиты государственной тайны и др.
Также могут издаваться Положения об органах по защите государственной тайны и Положения о структурных подразделениях по защите государственной тайны на предприятиях и в организациях.
Детальные разъяснения отдельных практических вопросов по организации и осуществлению защиты государственной тайны, включаются в соответствующие инструкции и правила.
Правовые и организационно-распорядительные документы носят нормативный характер, вводятся в действие правовым актом, являются обязательными для исполнения. Поэтому эти два вида документов также обозначают общим термином «нормативные правовые акты по защите государственной тайны».
Распорядительные документы - документы текущего (оперативного) управления издают во исполнение или в дополнение к основополагающим документам и устанавливают направления, методы (способы, приемы) организации работ по защите государственной тайны в зависимости от возникающих конкретных задач управления и условий защиты государственной тайны. Основными видами распорядительных документов по защите государственной тайны являются решения, приказы, директивы, распоряжения, указания.
Нормативные документы (НД) устанавливают единые требования, нормы и правила защиты информации, составляющей государственную тайну, обязательные для исполнения в пределах установленной при их введении сферы действия и области их распространения.
Основными видами нормативных документов, в которых регламентируются вопросы защиты государственной тайны, являются:
специальные НД ФСТЭК России и других органов государственной системы защиты информации;
НД государственной системы стандартизации.
Наряду с государственными стандартами отдельные вопросы защиты информации для различных объектов защиты регламентируются в стандартах отраслей, предприятий, а также в технических условиях на отдельные виды продукции и в других нормативных документах.
Видами специальных НД по защите информации являются:
нормы (например, требования эффективности защиты от технических разведок);
модели, методики и методические указания (например, оценки возможностей технических средств разведки, эффективности мероприятий по защите, контроля и др.);
рекомендации (пособия, например, по способам и средствам защиты от технических разведок и др.);
лицензии предприятиям на право осуществления работ по защите;
сертификаты соответствия продукции требованиям по защите государственной тайны;
аттестаты на объекты защиты, средства защиты информации и средства контроля эффективности ее защиты.
Плановые документы включают целевые программы и планы в области защиты государственной тайны или соответствующие разделы программ и планов более общего характера, по которым осуществляется самостоятельное финансирование.
Информационные документы служат для информационного обеспечения решения задач организации и осуществления защиты государственной тайны. По форме представления информационные документы могут быть следующих видов:
справочные документы (справочные пособия, единые исходные данные и др.);
отчетная научно-техническая документация;
учебная и научная литература;
документы служебного делопроизводства (акты, банки и базы данных, донесения, журналы и др.).