Порядок засекречивания и рассекречивания сведений и их носителей.

⇐ ПредыдущаяСтр 3 из 9Следующая ⇒

Основанием для засекречивания сведений является их соответствие действующим перечням сведений, подлежащих засекречиванию. При засекречивании этих сведений их носителям присваивается соответствующий гриф секретности.

При невозможности идентификации полученных (разработанных) сведений со сведениями, содержащимися в действующем перечне, должностные лица обязаны обеспечить предварительное засекречивание полученных (разработанных) сведений в соответствии с предполагаемой степенью секретности и в месячный срок направить в адрес должностного лица, утвердившего указанный перечень, предложения по его дополнению (изменению).

Должностные лица, утвердившие действующий перечень, обязаны в течение трех месяцев организовать экспертную оценку поступивших предложений и принять решение по дополнению (изменению) действующего перечня или снятию предварительно присвоенного сведениям грифа секретности.

Рассекречивание сведений и их носителей

Носители сведений, составляющих государственную тайну, рассекречиваются не позднее сроков, установленных при их засекречивании. До истечения этих сроков носители подлежат рассекречиванию, если изменены положения действующего в данном органе государственной власти, на предприятии, в учреждении и организации перечня, на основании которых они были засекречены.

В исключительных случаях право продления первоначально установленных сроков засекречивания носителей сведений, составляющих государственную тайну, предоставляется руководителям государственных органов, наделенным полномочиями по отнесению соответствующих сведений к государственной тайне, на основании заключения назначенной ими в установленном порядке экспертной комиссии.

Руководители государственных архивов Российской Федерации наделяются полномочиями по рассекречиванию носителей сведений, составляющих государственную тайну, находящихся на хранении в закрытых фондах этих архивов. В случае ликвидации фонда и отсутствия его правопреемника вопрос о порядке рассекречивания носителей сведений, составляющих государственную тайну, рассматривается межведомственной комиссией по защите государственной тайны.

2. Классификация методов зашиты информации от программно-математических воздействий.

ИНФОРМАЦИОННОЕ ПРОГРАММНО-МАТЕМАТИЧЕСКОЕ ОРУЖИЕ (ИПМО) - это совокупность способов и средств, позволяющая целенаправленно изменять (уничтожать, искажать), копировать, блокировать информацию, преодолевать системы защиты, ограничивать допуск законных пользователей, осуществлять дезинформацию, нарушать функционирование носителей информации, дезорганизовывать работу технических средств, компьютерных систем и информационно-вычислительных сетей, применяемая в ходе информационной борьбы (войны) для достижения поставленных целей.

Для защиты информации от ПМИО используют такие средства защиты как: программные, аппаратные и технические. Рассмотрим каждое из данных средств подробнее.

Программные средства защиты информации

· Встроенные средства защиты информации

· Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства. Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых решений следует отметить следующие две системы, позволяющие ограничить и контролировать информационные потоки.

· Межсетевые экраны (также называемые брандмауэрами или файрволами - от нем. Brandmauer, англ. firewall - «противопожарная стена»). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

Аппаратные средства защиты информации

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

·специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

·устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

·схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.

·устройства для шифрования информации (криптографические методы).

Технические средства защиты информации

Для защиты периметра информационной системы создаются:

системы охранной и пожарной сигнализации;

системы цифрового видео наблюдения;

системы контроля и управления доступом (СКУД).

Защита информации от ее утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями:

использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях;

установкой на линиях связи высокочастотных фильтров;

построение экранированных помещений («капсул»);

использование экранированного оборудования;

установка активных систем зашумления;

создание контролируемых зон

3. Специальные исследования объектов информатизации.

Специальные исследования - выявление с использованием контрольно-измерительной аппаратуры возможных технических каналов утечки защищаемой информации от основных и вспомогательных технических средств и систем и оценка соответствия защиты информации требованиям нормативных документов по защите информации.

При специальных исследованиях проводятся следующие виды работ:

· специальные исследования побочных электромагнитных излучений и наводок;

· дозиметрический контроль с помощью стационарного рентгенографического оборудования;

· специальные исследования линий электропередач;

· специальные исследования акустических и виброакустических каналов.

Билет 14

1. Порядок проведения аттестации и контроля объектов информатизации.

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:

- подачу и рассмотрение заявки на аттестацию;

- предварительное ознакомление с аттестуемым объектом;

- испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);

- разработка программы и методики аттестационных испытаний;

- заключение договоров на аттестацию;

- проведение аттестационных испытаний объекта информатизации;

- оформление, регистрация и выдача " Аттестата соответствия";

- осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;

- рассмотрение апелляций.

Государственный контроль и надзор за соблюдением правил аттестации проводится ФСТЭК и включает проверку правильности и полноты проводимых мероприятий по аттестации объектов информатизации, оформления и рассмотрения органами по аттестации отчетных документов и протоколов испытаний, своевременное внесение изменений в нормативную и методическую документацию по безопасности информации, инспекционный контроль за эксплуатацией аттестованных объектов информатизации.

2. Организационное обеспечение информационной безопасности при проведении закрытых мероприятий.

Основной угрозой при проведении совещаний и переговоров является возможность разглашения большего объема информации, чем это необходимо.

Причины:

а) Слабое знание сотрудниками состава ценной информации и мер по ее защите

б) Умышленное невыполнение требований по защите информации

в) Провоцированные и не провоцированные ошибки сотрудников

Основные этапы проведения совещаний и переговоров:

а) подготовка к проведению

б) процесс подготовки и документирование

в) анализ итогов и выполнение достигнутых результатов

Для подготовки этого мероприятия, обычно, назначается ответственный за проведение из числа сотрудников подразделения, по тематике которого проводится совещание.

Все документы, которые используются на мероприятии, содержащие информацию ограниченного доступа должны иметь гриф конфиденциальности. В этих документах должен содержаться минимальный набор сведений конфиденциального характера.

Список участников составляется по каждому обсуждаемому вопросу. Документы конфиденциального характера должны согласовываться с руководителем СБ.

Любые совещания конфиденциального характера должны проводиться в специально подготовленном помещение (ВП, ЗП). Эти помещения оборудуются средствами защиты от утечки речевой информации и аттестуются полномочным лицом.

Помещения, в которых разрешается обработка речевой информации, составляющей ГТ называются выделенными помещениями.

Аналогичные помещения для информации ограниченного доступа, не составляющей ГТ называются защищаемые помещения.

Перед началом совещания ответственный за помещение должен убедиться, что состав оборудования помещения соответствует паспорту помещения.

Запрещается вносить в помещение аудио - и видео - аппаратуру, различного рода передающие устройства, мобильные телефоны и т. п.

Целесообразно, перед началом совещания напомнить участникам о необходимости сохранения сведений ограниченного доступа и порядка документирования.

После окончания мероприятия ответственный за помещение проверяет его, опечатывает и сдает под охрану. Документы, принятые на совещании могут размножаться и рассылаться участникам в установленном порядке.

Особое место при проведении переговоров занимают рекламно - выставочные материалы. Материалы, не прошедшие экспертизу, публикации не подлежат.

3. Организационное обеспечение информационной безопасности при проведении закрытых мероприятий.

Причины:

а) Слабое знание сотрудниками состава ценной информации и мер по ее защите

б) Умышленное невыполнение требований по защите информации

в) Провоцированные и не провоцированные ошибки сотрудников

Основные этапы проведения совещаний и переговоров:

а) подготовка к проведению

б) процесс подготовки и документирование

в) анализ итогов и выполнение достигнутых результатов

Билет15.

1. Организация контроля за обеспечением режима при работе со сведениями, содержащими коммерческую тайну.

Контроль за обеспечением режима при работе со сведениями, составляющими коммерческую тайну, осуществляется в целях изучения и оценки фактического состояния сохранности коммерческой тайны, выявления недостатков и нарушений режима при работе с материалами с грифом " КТ", установления причин таких недостатков и нарушений и выработки предложений, направленных на их устранение и предотвращение.

Контроль за обеспечением режима при работе с материалами с грифом " КТ" осуществляет служба безопасности и руководители структурных подразделений.

Комиссия для проверки обеспечения режима при работе с материалами с грифом " КТ" комплектуется из опытных и квалифицированных работников в составе не менее двух человек, имеющих доступ к этой работе. Участие в проверке не должно приводить к необоснованному увеличению осведомленности проверяющих в этих сведениях.

Проверки обеспечения режима при работе с материалами с грифом " КТ" проводятся не реже одного раза в год комиссиями на основании предписания, подписанного директором или его заместителем по направлению.

Проверки проводятся в присутствии руководителя структурного подразделения или его заместителя.

Проверяющие имеют право знакомиться со всеми документами, журналами (карточками) учета и другими материалами, имеющими отношение к проверяемым вопросам, а также проводить беседы и консультации со специалистами и исполнителями, требовать предоставления письменных объяснений, справок, отчетов по всем вопросам, входящим в компетенцию комиссии.

По результатам проверок составляется акт (справка) с отражением в нем состояния режима при работе с материалами с грифом " КТ", выявленных недостатков и нарушении, предложении по их устранению.

С актом после утверждения его директором или заместителем под роспись знакомится руководитель структурного подразделения.

Об устранении выявленных в результате проверки недостатков и нарушений в режиме при работе с материалами " КТ" и реализации предложений руководитель подразделения в установленные комиссией сроки сообщает начальнику службы безопасности.

В случае установления факта утраты документов, дел и изданий с грифом " КТ" либо разглашения содержащихся в них сведений немедленно ставятся в известность директор, его заместители по направлениям и начальник отдела службы безопасности.

Для расследования факта утраты документов, дел и изданий с грифом " КТ" при установлении факта разглашения сведений, содержащихся в этих материалах, приказом директора (распоряжением руководителя структурного подразделения) назначается комиссия, заключение которой о результатах расследования утверждается руководителем, создавшим данную комиссию.

На утраченные документы, дела и издания с грифом " КТ" составляется акт. Соответствующие отметки вносятся в учетные документы.

Акты на утраченные дела постоянного хранения после их утверждения директором или его заместителями по Направлениям передаются в архив.

⇐ Предыдущая 1 234 5 6 7 8 9 Следующая ⇒