№ 3 Защита информации и информационная безопасность

Защита информации и информационная безопасность Содержание · Введение · o Лекция 1. Нормативно-правовые акты в области информационной деятельности и деятельности по защите инфор мации o Лекция 2. Правовое обеспечение защиты гостайны . Закон "О государственной тайне " o Лекция 3. Правовое обеспечение защиты конфиденциальной информации o Лекция 4. Нормативно-правовые акты по защите компьютерной информации . Предупреждение нарушений нор м защиты информации o Лекция 5. Задачи систем обеспечения безопасности информации в автоматизированных системах o Лекция 6. Построение систем защиты информации от НСД o Лекция 7. Организация работ по защите информации , обрабатываемой техническими средствам и o Лекция 8. Комплекс технических средств , программного обеспечения , технологического процесса обработки информации при использовании системы электронного документооборота с ОПФР o Список рекомендуемой литературы Введение Современный этап развития обществ а характеризуется возрастающей ролью его информационной сферы , представляющей собой совокупность информационных ресурсов , информационной инфраструктуры , системы формирования , распространения , использования информации и регулирования возникающих при этом о б щественных отношений. Незащищенность интересов граждан , общества и государства в информационной сфере является самостоятельной угрозой безопасности Российской Федерации. Под информационной безопасностью Российской Федерации понимается состояние защищенност и жизненно важных интересов граждан , общества и государства в информационной сфере. Информационная сфера , являясь системообразующим фактором жизни общества , активно влияет на состояние политической , экономической , оборонной и других составляющих безопаснос ти Российской Федерации. Возрастает влияние информационных технологий и информационных ресурсов на состояние экономической сферы . Увеличивается зависимость объектов этой сферы от полноты и достоверности используемой ими информации , своевременности ее получ ения , защищенности сведений , составляющих коммерческую тайну. Курс "Защита информации и информационная безопасность " введен , чтобы показать будущим социологам систему правоотношений , возникающих в области обработки информации , ознакомить с действующими нор мативно-правовыми актами по защите информации , изучить содержания основных законов , стандартов , подзаконных актов по защите информации , построение систем защиты информации. Лекция 1. Нормативно-правовые акты в области информационной деятельности и деятельн ости по защите информации Вопросы : 1. Правовые основы обеспечения информационной безопасности личности , общества и государства . Государственная политика в области обеспечения национальной безопасности . Роль и место информационной безопасности в системе нац иональной безопасности. 2. Конституционные основы обеспечения безопасности . Законы РФ о безопасности личности и государства , о праве граждан на информацию. 3. Виды нормативно-правовых актов . Иерархия нормативно-правовых актов в области ЗИ 1. Государственна я политика в области обеспечения безопасности личности , общества и государства от внешних и внутренних угроз с учетом имеющихся ресурсов и возможностей сформулирована в Концепции национальной безопасности , утвержденной 17.12.1997 Президентом РФ. В Концепци и сформулированы важнейшие направления и принципы государственной политики. IV. Обеспечение национальной безопасности Российской Федерации Основными направлениями деятельности государства и общества по обеспечению национальной безопасности Российской Федер ации являются : в частности , определение критериев национальной безопасности и их пороговых значений , выработка комплекса мер и механизмов обеспечения национальной безопасности в сферах экономики , внешней и внутренней политики , общественной безопасности и п равопорядка , обороны , в информационной и духовной сферах ; Одной из важнейших задач обеспечения национальной безопасности Российской Федерации является : укрепление безопасности государства в оборонной и информационной сферах ; Основными принципами обеспечени я национальной безопасности Российской Федерации являются : единство , взаимосвязь и сбалансированность всех видов безопасности , изменение их приоритетности в зависимости от ситуации ; приоритетность политических , экономических , информационных мер обеспечения национальной безопасности ; В современных условиях всеобщей информатизации и развития информационных технологий резко возрастает значение обеспечения национальной безопасности Российской Федерации в информационной сфере. Роль и место информационной безопас ности в системе национальной безопасности Российской Федерации. Современный этап развития общества характеризуется возрастающей ролью его информационной сферы , представляющей собой совокупность информационных ресурсов , информационной инфраструктуры , систем ы формирования , распространения , использования информации и регулирования возникающих при этом общественных отношений. Незащищенность интересов граждан , общества и государства в информационной сфере является самостоятельной угрозой безопасности Российской Федерации. Под информационной безопасностью Российской Федерации понимается состояние защищенности жизненно важных интересов граждан , общества и государства в информационной сфере. Информационная сфера , являясь системообразующим фактором жизни общества , ак тивно влияет на состояние политической , экономической , оборонной и других составляющих безопасности Российской Федерации. Возрастает влияние информационных технологий и информационных ресурсов на состояние экономической сферы . Увеличивается зависимость объ ектов этой сферы от полноты и достоверности используемой ими информации , своевременности ее получения , защищенности сведений , составляющих коммерческую тайну. Обороноспособность и безопасность государства находятся в прямой зависимости от качества добываем ой информации , уровня информационных технологий , защищенности систем обработки информации и связи , используемых органами разведки , контрразведки , радиоэлектронной борьбы , управления войсками и оружием. Являясь самостоятельной составляющей национальной безо пасности , информационная безопасность , в то же время , оказывает непосредственное влияние на защищенность интересов Российской Федерации в экономической , международной , общественной , федеральной , оборонной и других сферах жизни общества. 2. Конституционные основы обеспечения безопасности . Законы РФ о безопасности личности и государства , о праве граждан на информацию. Конституция РФ. Фундаментальный конституционный принцип - это свобода информации . В статье 29 Конституции РФ закреплены свобода мысли и слова , свобода массовой информации . Право личности на доступ к информационным ресурсам общества и государства изложено в пунктах 3 и 4 статьи 29 следующим образом : "Никто не может быть принужден к выражению своих мнений и убеждений или отказу от них . Каждый имее т право свободно искать , получать , передавать , производить и распространять информацию любым законным способом ". В конституции также определены некоторые конкретные источники информации , гарантируемые государством . Так , в статье 33 предусмотрено право гражд ан обращаться лично , а также направлять коллективные обращения в государственные органы и органы местного самоуправления . В пункте 2 статьи 24 Конституции органам государственной власти , органам местного самоуправления и их должностным лицам вменено в обя з анность обеспечивать каждому возможность ознакомления с документами и материалами , непосредственно затрагивающими его права и свободы (если иное не предусмотрено законом ). Тем самым государство обеспечивает определенную гарантию доступа каждого гражданина к жизненно важной для него информации . В статье 15 указывается , что "законы подлежат официальному опубликованию . Неопубликованные законы не применяются . Любые нормативные правовые акты , затрагивающие права , свободы и обязанности человека и гражданина , не м огут применяться , если они не опубликованы официально для всеобщего сведения ". В статье 42 закреплено право каждого на достоверную информацию о состоянии окружающей среды. Наряду с декларацией права на доступ к информации и гарантиями возможности доступа к информации в Конституции сформулированы некоторые ограничения , касающиеся распространения и использования информации . Общепринятой нормой права , зафиксированной в международных соглашениях , является ограничение информационных прав и свобод , если они испо л ьзуются в целях : насильственного изменения конституционного строя , разжигания расовой , национальной и религиозной ненависти , пропаганды насилия и войны , нарушения неприкосновенности частной жизни , нарушения тайны переписки , телефонных переговоров , телегра ф ных и иных сообщений . В международных соглашениях , регламентирующих права и свободы , устанавливается . что право на неприкосновенность частной жизни , на тайну переписки , телефонных переговоров , телеграфных и иных сообщений может быть также ограничено тольк о в соответствии с законом на основании судебного решения. Дополнительно Конституция РФ предусматривает возможность ограничения прав и свобод с указанием пределов и сроков их действия в условиях чрезвычайного положения в соответствии с федеральным законом. Уголовный кодекс РФ Статья 137. Нарушение неприкосновенности частной жизни ; Статья 138. Нарушение тайны переписки , телефонных переговоров , почтовых , телеграфных и иных сообщений ; В более узкой области ИП - правовой защите информации , основополагающим (базов ым ) законом в этой области -Законом "Об информации , информационных технологиях и о защите информации " вводятся следующие 4 правовые нормы , устанавливающие правовой режим информационных ресурсов РФ (ст .5 Закона ): порядок документирования информации ; право с обственности на отдельные документы и отдельные массивы документов , документы и массивы документов в информационных системах ; категорию информации по уровню доступа к ней ; порядок правовой защиты информации. Этим же законом (ст .2) вводится определение "док ументированная информация " - зафиксированная на материальном носителе путем документирования информация с реквизитами , позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель ; Инф ормация , в зависимости от категории доступа к ней , подразделяется на общедоступную информацию , а также на информацию , доступ к которой ограничен федеральными законами (информация ограниченного доступа ). Информация , в зависимости от порядка ее предоставлени я или распространения , подразделяется на : 1) информацию , свободно распространяемую ; 2) информацию , предоставляемую по соглашению лиц , участвующих в соответствующих отношениях ; 3) информацию , которая в соответствии с федеральными законами подлежит предостав лению или распространению ; 4) информацию , распространение которой в Российской Федерации ограничивается или запрещается. 2. Законодательное определение понятий информация и защищаемая информация . Структура информационных ресурсов по праву собственности Баз овый закон в области информатизации и ЗИ - "Об информации , информационных технологиях и о защите информации " (149-ФЗ от 27.07.2006) определяет понятие информация как сведения (сообщения , данные ) независимо от формы их представления (ст .2) Статья 16 Закона гласит : "Обладатель информации , оператор информационной системы в случаях , установленных законодательством , обязаны обеспечить : … предотвращение несанкционированного доступа к информации и (или ) передачи ее лицам , не имеющим права на доступ к информации ; И нформационные ресурсы , являющиеся собственностью государства , находятся в ведении органов государственной власти и организаций в соответствии с их компетенцией , подлежат учету и защите в составе государственного имущества. Информационные ресурсы физических и юридических лиц , созданные или приобретенные на законных основаниях за счет средств собственных бюджетов , являются их собственностью , учитываются на праве материального имущества и могут быть переданы на возмездной или безвозмездной основе другим физич е ским и юридическим лицам или государству на праве собственности , владения или пользования. 3. Виды нормативно-правовых актов Иерархия нормативно-правовых актов в области ЗИ Нормативно-правовой акт - письменный документ компетентного органа государственной власти , которым устанавливаются , изменяются или отменяются нормы права , содержащие правила общего характера . Является основным источником права. Все нормативно-правовые акты связаны между собой , располагаются в определенной системе , подчинены друг другу ил и соотносятся друг с другом. Законодательные акты - нормативно-правовые акты , обладающие высшей юридической силой , принятые органом законодательной власти или референдумом в установленном Конституцией порядке . По значимости содержащихся в них норм делятся на конституционные и текущие (обыкновенные ). Особой разновидностью текущих законов являются органические (кодифицированные ) законы и чрезвычайные законы. Подзаконные нормативно-правовые акты - правовые акты , изданные в пределах компетенции исполнительным о рганом госвласти , имеющие более низкую юридическую силу , чем законы . К ним относятся указы Президента , постановления и распоряжения Правительства , акты министерств , госкомитетов и др . органов исполнительной власти , а также постановления палат Федерального Собрания РФ , решения судов. Правовые акты определяют понятия и признаки нарушения закона и субъекта преступления , тяжесть деяния , меру ответственности за его совершение. Ведомственные нормативные акты регламентируют жизнедеятельность в рамках соответствующ их гос . ведомств и обязательны для выполнения всеми госслужащими соответствующих структур. Региональные законодательные акты регламентируют жизнедеятельность в рамках соответствующего региона , являются обязательными для гос . органов , физических и юридическ их лиц , действующих на соответствующей территории субъекта федерации. Как же ориентироваться в мире законодательства в области защиты информации ? Все существующее многообразие юридических документов можно структурировать по их назначению в виде таблицы : Законодательные акты Базовые законы в области информатизации Законодательные акты о режимах отдельных видов информации Законодательные акты об отдельных видах информационного обеспечения Законодательные акты об информационном обмене Правовые акты Уголовное право Гражданское право Административное право Трудовое право Подзаконные акты Указы президента Постановления правительства Распоряжения президента, распоряжения правительства Государственные стандарты Ведомственные нормативные ак ты Руководящие документы Положения Методические документы Перечни Письма Инструкции, наставления Региональные законодательные акты Региональные законы Постановления главы администрации Распоряжения главы администрации Руководящие документы Законодательные акты определяют понятия , структуру , порядок деятельности , требования , права и обязанности субъектов деятельности и являются обязательными для безусловного выполнения гражданами , организациями независимо от формы собственности и ве домственной подчиненности , органами государственной власти и управления на всей территории государства. Базовые законы непосредственно касаются вопросов защиты информации , остальные лишь частично или косвенно касаются этих вопросов , регламентируя деятельно сть в связанных с ними смежных областях. Базовыми в области защиты информации являются такие законы РФ как "О государственной тайне " и "Об информации , информатизации и защите информации ". Законодательные акты о режимах отдельных видов информации представле ны более чем тридцатью законами такими как "О банках и банковской деятельности ", "О федеральных органах правительственной связи ", "Об оперативно-розыскной деятельности ", "Об органах федеральной службы безопасности в РФ ", "О геодезии и картографии " и др. Пр имерами законодательных актов об отдельных видах информационного обеспечения могут служить законы "О рекламе ", ""О почтовой связи ", "О средствах массовой информации ", "О связи " и др. Примером законодательных актов об информационном обмене является федераль ный закон "Об участии в международном информационном обмене ". Правовые акты определяют понятия и признаки нарушения закона и субъекта преступления , тяжесть деяния , меру ответственности за его совершение и являются обязательными для выполнения государственн ыми органами охраны правопорядка и судебными органами. Правовыми актами в области защиты информации являются Гражданский кодекс РФ ч .1, Уголовный кодекс РФ , Кодекс законов о труде РФ. Подзаконные акты определяют понятия , структуру государственных органов , порядок и механизмы их деятельности , вводят в действия положения о них и их деятельности , регламентируют процессы организации жизнедеятельности государства и являются обязательными для безусловного выполнения всеми государственными учреждениями , а также ф и зическими и юридическими лицами во взаимоотношениях с ними . За нарушение подзаконного акта уголовной ответственности не возникает и могут быть применены только меры административной ответственности : ограничение деятельности физического или юридического ли ц а , штрафные санкции. Примерами подзаконных актов являются указы президента РФ такие как "Об утверждении перечня сведений , отнесенных к государственной тайне ", "О перечне сведений конфиденциального характера " или постановления правительства РФ "Об Утвержден ии правил отнесения сведений , составляющих государственную тайну , к различным степеням секретности ", "О лицензировании деятельности предприятий , учреждений и организаций по проведению работ , связанных с использованием сведений , составляющих государственну ю тайну , созданием средств защиты информации , а также с осуществлением мероприятий и (или ) оказанием услуг по защите государственной тайны " и др. Ведомственные нормативные акты регламентируют жизнедеятельность в рамках соответствующих государственных ведомс тв и обязательны для выполнения всеми государственными служащими соответствующих структур . Ответственность за нарушение ведомственных актов распространяется на государственных служащих соответствующих ведомств , физических и юридических лиц , получивших пра в о осуществления деятельности в области , подконтрольной ведомству и носит административный (прекращение деятельности , административный штраф и т.д .) и дисциплинарный характер , а в случае причинения ущерба - гражданскую ответственность в судебном порядке. 4. Базовые законодательные акты в области ИД и ЗИ . Законодательные акты об отдельных видах информации и информационного обеспечения . Подзаконные акты в области ЗИ . ГОСТы по ЗИ Закон "Об информации , информационных технологиях и о защите информации ". (27 июля 2006 г . N 149-ФЗ ). Данный закон , называемый авторами "базовым ", призван был положить начало формированию новой отрасли законодательства . Поэтому принципиальные решения , закрепленные в законе , требуют пристального рассмотрения. В ст .1 определена сфера регул ирования правоотношений . Это отношения , возникающие при : формировании и использовании информационных ресурсов на основе создания , сбора , обработки , накопления , хранения , поиска , распространения и предоставления потребителю документированной информации ; соз дании и использовании информационных технологий и средств их обеспечения ; защите информации , прав субъектов , участвующих в информационных процессах и информатизации. Среди объектов регулирование центральное место занимают (ст .2): документированная информац ия (документ ) - зафиксированная на материальном носителе информация с реквизитами , позволяющими ее идентифицировать ; информационные ресурсы - отдельные документы и отдельные массивы документов , документы и массивы документов в информационных системах (библ иотеках , архивах , фондах , банках данных , других информационных системах ); средства обеспечения автоматизированных информационных систем и их технологий - программные , технические , лингвистические , правовые , организационные средства (программы для электронн ых вычислительных машин ; средства вычислительной техники и связи ; словари , тезаурусы и классификаторы ; инструкции и методики ; положения , уставы , должностные инструкции ; схемы и их описания , другая эксплуатационная и сопроводительная документация ), использу емые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию. Комментарии Комментарий к ст . N 5 Для признания электронной цифровой подписи необходимо наличие в автоматизированных информационных системах сертифицированных п рограммно-технических средств , обеспечивающих идентификацию подписи , и соблюдение установленного режима их использования . В п .4 ст .5. предусмотрено обязательное лицензирование деятельности , связанной с реализацией права удостоверять идентичность электронн о -цифровой подписи . Еще предстоит разработка актов , регулирующих единый порядок лицензирования и сертификации в этой области. Комментарий к ст . N19 Закон решает вопрос повышения качества , надежности средств защиты информации от несанкционированного доступа, а также ответственности организаций , производящих такие средства , устанавливая лицензирование такой деятельности : организации , разрабатывающие и производящие такие средства , должны получить лицензию на этот вид деятельности (п .3 ст . 19). Организации , выпо лняющие работы в области обработки персональных данных , также должны получать лицензию на такую деятельность . Это направлено на реализацию конституционных гарантий прав граждан на неприкосновенность частной жизни , личную и семейную тайну , защиту своей чес т и и доброго имени (п .1 ст .23 Конституция РФ ). Лицензирование такой деятельности дает возможность ее контроля компетентными органами и создает дополнительные условия для защиты персональных данных как информации конфиденциальной. Создание средств защиты инф ормации подлежит лицензированию в соответствии с Положением о лицензировании деятельности предприятий , учреждений и организаций по проведению работ , связанных с использованием сведений , составляющих государственную тайну , созданием средств защиты информац и и , а также осуществлением мероприятий и (или ) оказанием услуг по защите государственной тайны Ведение лицензионной деятельности в данной области поручено Федеральному агентству правительственной связи и информации при президенте РФ и государственной техни ч еской комиссии при Президенте РФ. Комментарий к ст . N22 Согласно п .2 ст .22, владелец информации при определении уровня ее защиты обязан руководствоваться законодательством РФ . Он имеет возможность пользоваться средствами специализированных органов в област и информационной безопасности : ФАПСИ , Государственной технической комиссии РФ . Вместе с тем защита документированной информации не должна наносить ущерба ее собственнику и пользователям . Таким образом , самостоятельность владельца и собственника в данном с л учае также находится под контролем Закона. При обработке информации всегда существует угроза нанесения ущерба ее владельцу . Для снижения риска Закон предписывает использовать механизм сертификации информационных систем и средств защиты информации (см . ст . 19) . при этом ответственность за возникающий риск берет на себя орган сертификации . Эта ответственность может быть реализована в форме страхования или прямого возмещения понесенного ущерба . В том случае , если используются несертифицированные информационн ы е системы или средства защиты , то риск лежит на собственнике (владельце ) этих систем и средств. Пользователь , получивший информацию из несертифицированных систем и знающий об этом , берет риск на себя . Однако владелец системы обязан предупредить пользовател я об отсутствии у него сертификата. (Комитет при президенте РФ по политике информатизации , Институт государства и права Российской академии наук , Научно-технический центр "Информсистема ". Федеральный закон "Об информации , информатизации и защите информации ". Комментарий . Москва 1996г ) ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ОРГАНАХ ФЕДЕРАЛЬНОЙ СЛУЖБЫ БЕЗОПАСНОСТИ В РОССИЙСКОЙ ФЕДЕРАЦИИ. Принят Государственной Думой 22 февраля 1995 года Настоящий Федеральный закон определяет назначение , правовые основы , принципы , направления д еятельности , полномочия , силы и средства органов федеральной службы безопасности , а также порядок контроля и надзора за их деятельностью. ЗАКОН О ФЕДЕРАЛЬНЫХ ОРГАНАХ ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ ( в ред . Указа Президента РФ от 24.12.93 N 2288) Насто ящий Закон определяет назначение , правовую основу , принципы организации и основные направления деятельности , систему , обязанности и права , силы и средства федеральных органов правительственной связи и информации , а также виды и порядок контроля и надзора з а их деятельностью. ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ УЧАСТИИ В МЕЖДУНАРОДНОМ ИНФОРМАЦИОННОМ ОБМЕНЕ Принят Государственной Думой 5 июня 1996 года Статья 1. Цели и сфера действия настоящего Федерального закона 1. Цели настоящего Федерального закона - создание условий дл я эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства , защита интересов Российской Федерации , субъектов Российской Федерации и муниципальных образований при международном информационном о бмене , защита интересов , прав и свобод физических и юридических лиц при международном информационном обмене. 2. Настоящий Федеральный закон не затрагивает отношений , регулируемых Законом Российской Федерации "Об авторском праве и смежных правах ". Междунаро дный обмен конфиденциальной информацией , массовой информацией осуществляется в порядке , устанавливаемом настоящим Федеральным законом , другими федеральными законами и иными нормативными правовыми актами. Закон "Об обязательном экземпляре документов " (от 29 .12.94 г . N77 - ФЗ ). Согласно ст .5, в числе документов , входящих в состав обязательного бесплатного экземпляра и обязательного платного экземпляра , указаны "электронные издания , включающие программы для ЭВМ и базы данных или представляющие собой программы для ЭВМ и базы данных ". В ст .13 устанавливается порядок доставки обязательного бесплатного экземпляра электронных изданий. В связи с неточностью формулировок используемых терминов возникают проблемы как в понимании закона , так и в его применении . Термин "э лектронные издания " в соответствии с приведенным определением охватывает практически все виды автоматизированных информационных систем , то есть никак (ничем ) не ограничивает круг бесплатно предоставляемых обязательных экземпляров , хотя термин "издание ", в в еденный Законом "О средствах массовой информации ", подразумевает издание средства массовой информации , то есть соответствие определенным требованиям в смысле регистрации , тиража и т.д . В Законе "Об авторском праве и смежных правах " термин "издание " употре б ляется только в смысле "периодического издания ". В смысле указанных выше законов , применение по отношению к "программе для ЭВМ " термина "электронное издание " представляется некорректным. Закон "О связи " (от 16.02.95 г . N15-ФЗ ). Средства связи вместе со сре дствами вычислительной техники составляют техническую базу обеспечения процесса сбора , обработки , накопления и распространения информации (ст .1). Таким образом , закон регулирует обширную область правоотношений , возникающих при передаче информации по канала м связи (при осуществлении удаленного доступа пользователей к базам данных , обмене электронными сообщениями и других ситуациях ). 3. Закон "О средствах массовой информации " (27.12.91 г . N 2124-I) В ст .2 приведены определения основных терминов , в том числе " массовая информация ", "средство массовой информации ", "периодическое печатное издание ", которые предусматривают иные сообщения и материалы , нежели печатные , аудио -, аудиовизуальные ; иные формы периодического распространения массовой информации , нежели печ а тное издание , радио -, теле -, видеопрограмма , кинохроникальная программа ; иное издание , нежели газета , журнал , альманах , бюллетень . Исходя из этих определений правомерно предположить , что средства массовой информации могут создаваться и распространяться с и спользованием новых информационных технологий. Статья 24 "Иные средства массовой информации " предусматривает , что "правила , установленные настоящим Законом для периодических печатных изданий , применяются в отношении периодического распространения тиражом т ысяча и более экземпляров текстов , созданных с помощью компьютеров и (или ) хранящихся в их банках и базах данных , а равно в отношении иных средств массовой информации , продукция которых распространяется в виде печатных сообщений , материалов , изображений. П равила , установленные настоящим Законом для радио - и телепрограмм , применяются в отношении периодического распространения массовой информации через системы телекса , видеотекста и иные телекоммуникационные сети , если законодательством Российской Федерации не установлено иное. ГОСТы по защите информации. ГОСТ 28147-89. СОД . Защита криптографическая . Алгоритмы криптографического преобразования. (*) ГОСТ 29.339-92. Информационная технология . Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники . Общие технические требования. П 85 - ГОСТ Р 34.10-94. Информационные технологии . Криптографическая защита информации . Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. П 8 5 - ГОСТ Р 34.11-94. Информационные технологии . Криптографическая защита информации . Функция хэширования. (*) ГОСТ РВ 50170-92. Противодействие ИТР . Термины и определения. П 85 - ГОСТ Р 50739-95. СВТ . Защита от несанкционированного доступа к информации . Общие технические требования. (*) ГОСТ РВ 50600-93. Защита секретной информации от технической разведки . Система документов . Общие положения. (*) ГОСТ Р 50752-95. Информационная технология . Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычи слительной техники . Методы испытаний. Э 00 - ГОСТ Р 50922-96. Защита информации . Основные термины и определения. *) - закрытые Лекция 2. Правовое обеспечение защиты гостайны . Закон "О государственной тайне " Вопросы : 1. Понятие гостайны . Сведения , относимые к гостайне Засекречивание и рассекречивание сведений и носителей 2. Защита гостайны. 3. Подзаконные и ведомственные акты по защите гостайны . ГОСТы по защите гостайны. 1. ЗАКОН О ГОСУДАРСТВЕННОЙ ТАЙНЕ (в ред. Федерального закона от 06.10.97 N 131-ФЗ ) Настоящ ий Закон регулирует отношения , возникающие в связи с отнесением сведений к государственной тайне , их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации . (в ред . Федерального закона от 06.10.97 N 131-ФЗ ) В настоящем Законе используются следующие основные понятия : государственная тайна - защищаемые государством сведения в области его военной , внешнеполитической , экономической , разведывательной , контрразведывательной и оперативно - розыскной деятельности , р аспространение которых может нанести ущерб безопасности Российской Федерации ; носители сведений , составляющих государственную тайну , - материальные объекты , в том числе физические поля , в которых сведения , составляющие государственную тайну , находят свое о тображение в виде символов , образов , сигналов , технических решений и процессов ; система защиты государственной тайны - совокупность органов защиты государственной тайны , используемых ими средств и методов защиты сведений , составляющих государственную тайну , и их носителей , а также мероприятий , проводимых в этих целях ; Статья 5. Перечень сведений , составляющих государственную тайну Государственную тайну составляют : 1) сведения в военной области : о содержании стратегических и оперативных планов , документов бо евого управления по подготовке и проведению операций , стратегическому , оперативному и мобилизационному развертыванию Вооруженных Сил Российской Федерации , других войск , воинских формирований и органов , предусмотренных Федеральным законом "Об обороне ", об и х боевой и мобилизационной готовности , о создании и об использовании мобилизационных ресурсов ; о планах строительства Вооруженных Сил Российской Федерации , других войск Российской Федерации , о направлениях развития вооружения и военной техники , о содержани и и результатах выполнения целевых программ , научно - исследовательских и опытно - конструкторских работ по созданию и модернизации образцов вооружения и военной техники ; о разработке , технологии , производстве , об объемах производства , о хранении , об утили зации ядерных боеприпасов , их составных частей , делящихся ядерных материалов , используемых в ядерных боеприпасах , о технических средствах и (или ) методах защиты ядерных боеприпасов от несанкционированного применения , а также о ядерных энергетических и спе ц иальных физических установках оборонного значения ; 2) сведения в области экономики , науки и техники : о содержании планов подготовки Российской Федерации и ее отдельных регионов к возможным военным действиям , о мобилизационных мощностях промышленности по из готовлению и ремонту вооружения и военной техники , об объемах производства , поставок , о запасах стратегических видов сырья и материалов , а также о размещении , фактических размерах и об использовании государственных материальных резервов ; об использовании и нфраструктуры Российской Федерации в целях обеспечения обороноспособности и безопасности государства ; о силах и средствах гражданской обороны , о дислокации , предназначении и степени защищенности объектов административного управления , о степени обеспечения безопасности населения , о функционировании транспорта и связи в Российской Федерации в целях обеспечения безопасности государства ; об объемах , о планах (заданиях ) государственного оборонного заказа , о выпуске и поставках (в денежном или натуральном выражен ии ) вооружения , военной техники и другой оборонной продукции , о наличии и наращивании мощностей по их выпуску , о связях предприятий по кооперации , о разработчиках или об изготовителях указанных вооружения , военной техники и другой оборонной продукции ; 3) с ведения в области внешней политики и экономики : о внешнеполитической , внешнеэкономической деятельности Российской Федерации , преждевременное распространение которых может нанести ущерб безопасности государства ; о финансовой политике в отношении иностранных государств (за исключением обобщенных показателей по внешней задолженности ), а также о финансовой или денежно - кредитной деятельности , преждевременное распространение которых может нанести ущерб безопасности государства ; 4) сведения в области разведывате льной , контрразведывательной и оперативно - розыскной деятельности : о силах , средствах , об источниках , о методах , планах и результатах разведывательной , контрразведывательной и оперативно - розыскной деятельности , а также данные о финансировании этой деяте льности , если эти данные раскрывают перечисленные сведения ; о лицах , сотрудничающих или сотрудничавших на конфиденциальной основе с органами , осуществляющими разведывательную , контрразведывательную и оперативно - розыскную деятельность ; об организации , о с илах , средствах и методах обеспечения безопасности объектов государственной охраны , а также данные о финансировании этой деятельности , если эти данные раскрывают перечисленные сведения ; о системе президентской , правительственной , шифрованной , в том числе к одированной и засекреченной связи , о шифрах , о разработке , об изготовлении шифров и обеспечении ими , о методах и средствах анализа шифровальных средств и средств специальной защиты , об информационно - аналитических системах специального назначения ; о метод ах и средствах защиты секретной информации ; об организации и о фактическом состоянии защиты государственной тайны ; о защите Государственной границы Российской Федерации , исключительной экономической зоны и континентального шельфа Российской Федерации ; о ра сходах федерального бюджета , связанных с обеспечением обороны , безопасности государства и правоохранительной деятельности в Российской Федерации ; о подготовке кадров , раскрывающие мероприятия , проводимые в целях обеспечения безопасности государства. 2. Ста тья 8. Степени секретности сведений и грифы секретности носителей этих сведений Степень секретности сведений , составляющих государственную тайну , должна соответствовать степени тяжести ущерба , который может быть нанесен безопасности Российской Федерации вс ледствие распространения указанных сведений. Устанавливаются три степени секретности сведений , составляющих государственную тайну , и соответствующие этим степеням грифы секретности для носителей указанных сведений : "особой важности ", "совершенно секретно " и "секретно ". Порядок определения размеров ущерба , который может быть нанесен безопасности Российской Федерации вследствие распространения сведений , составляющих государственную тайну , и правила отнесения указанных сведений к той или иной степени секретнос ти устанавливаются Правительством Российской Федерации. Использование перечисленных грифов секретности для засекречивания сведений , не отнесенных к государственной тайне , не допускается. Статья 11. Порядок засекречивания сведений и их носителей Основанием для засекречивания сведений , полученных (разработанных ) в результате управленческой , производственной , научной и иных видов деятельности органов государственной власти , предприятий , учреждений и организаций , является их соответствие действующим в данных о р ганах , на данных предприятиях , в данных учреждениях и организациях перечням сведений , подлежащих засекречиванию . При засекречивании этих сведений их носителям присваивается соответствующий гриф секретности. При невозможности идентификации полученных (разра ботанных ) сведений со сведениями , содержащимися в действующем перечне , должностные лица органов государственной власти , предприятий , учреждений и организаций обязаны обеспечить предварительное засекречивание полученных (разработанных ) сведений в соответст в ии с предполагаемой степенью секретности и в месячный срок направить в адрес должностного лица , утвердившего указанный перечень , предложения по его дополнению (изменению ). Должностные лица , утвердившие действующий перечень , обязаны в течение трех месяцев о рганизовать экспертную оценку поступивших предложений и принять решение по дополнению (изменению ) действующего перечня или снятию предварительно присвоенного сведениям грифа секретности. Статья 13. Порядок рассекречивания сведений Рассекречивание сведений и их носителей - снятие ранее введенных в предусмотренном настоящим Законом порядке ограничений на распространение сведений , составляющих государственную тайну , и на доступ к их носителям. Основаниями для рассекречивания сведений являются : взятие на себя Р оссийской Федерацией международных обязательств по открытому обмену сведениями , составляющими в Российской Федерации государственную тайну ; изменение объективных обстоятельств , вследствие которого дальнейшая защита сведений , составляющих государственную та йну , является нецелесообразной. Органы государственной власти , руководители которых наделены полномочиями по отнесению сведений к государственной тайне , обязаны периодически , но не реже чем через каждые 5 лет , пересматривать содержание действующих в органа х государственной власти , на предприятиях , в учреждениях и организациях перечней сведений , подлежащих засекречиванию , в части обоснованности засекречивания сведений и их соответствия установленной ранее степени секретности. Срок засекречивания сведений , со ставляющих государственную тайну , не должен превышать 30 лет . В исключительных случаях этот срок может быть продлен по заключению межведомственной комиссии по защите государственной тайны. Правом изменения действующих в органах государственной власти , на п редприятиях , в учреждениях и организациях перечней сведений , подлежащих засекречиванию , наделяются утвердившие их руководители органов государственной власти , которые несут персональную ответственность за обоснованность принятых ими решений по рассекречив а нию сведений . Решения указанных руководителей , связанные с изменением перечня сведений , отнесенных к государственной тайне , подлежат согласованию с межведомственной комиссией по защите государственной тайны , которая вправе приостанавливать и опротестовыва т ь эти решения. Статья 14. Порядок рассекречивания носителей сведений , составляющих государственную тайну Носители сведений , составляющих государственную тайну , рассекречиваются не позднее сроков , установленных при их засекречивании . До истечения этих сроко в носители подлежат рассекречиванию , если изменены положения действующего в данном органе государственной власти , на предприятии , в учреждении и организации перечня , на основании которых они были засекречены. В исключительных случаях право продления первон ачально установленных сроков засекречивания носителей сведений , составляющих государственную тайну , предоставляется руководителям государственных органов , наделенным полномочиями по отнесению соответствующих сведений к государственной тайне , на основании з аключения назначенной ими в установленном порядке экспертной комиссии. Руководители органов государственной власти , предприятий , учреждений и организаций наделяются полномочиями по рассекречиванию носителей сведений , необоснованно засекреченных подчиненным и им должностными лицами. Руководители государственных архивов Российской Федерации наделяются полномочиями по рассекречиванию носителей сведений , составляющих государственную тайну , находящихся на хранении в закрытых фондах этих архивов , в случае делегиро вания им таких полномочий организацией - фондообразователем или ее правопреемником . В случае ликвидации организации - фондообразователя и отсутствия ее правопреемника вопрос о порядке рассекречивания носителей сведений , составляющих государственную тайну, рассматривается межведомственной комиссией по защите государственной тайны. 3. ЗАЩИТА ГОСУДАРСТВЕННОЙ ТАЙНЫ Статья 20. Органы защиты государственной тайны К органам защиты государственной тайны относятся : межведомственная комиссия по защите государственной тайны ; органы федеральной исполнительной власти (Федеральная служба безопасности Российской Федерации , Министерство обороны Российской Федерации , Федеральное агентство правительственной связи и информации при Президенте Российской Федерации ), Служба внешн ей разведки Российской Федерации , Государственная техническая комиссия при Президенте Российской Федерации и их органы на местах ; (в ред . Федерального закона от 06.10.97 N 131-ФЗ ) (см . текст в предыдущей редакции ) органы государственной власти , предприяти я , учреждения и организации и их структурные подразделения по защите государственной тайны. Межведомственная комиссия по защите государственной тайны является коллегиальным органом , координирующим деятельность органов государственной власти по защите госуда рственной тайны в интересах разработки и выполнения государственных программ , нормативных и методических документов , обеспечивающих реализацию законодательства Российской Федерации о государственной тайне . Функции межведомственной комиссии по защите госуд а рственной тайны и ее надведомственные полномочия реализуются в соответствии с Положением о межведомственной комиссии по защите государственной тайны , утверждаемым Президентом Российской Федерации. Органы федеральной исполнительной власти (Федеральная служб а безопасности Российской Федерации , Министерство обороны Российской Федерации , Федеральное агентство правительственной связи и информации при Президенте Российской Федерации ), Служба внешней разведки Российской Федерации , Государственная техническая коми с сия при Президенте ........... Российской Федерации и их органы на местах организуют и обеспечивают защиту государственной тайны в соответствии с функциями , возложенными на них законодательством Российской Федерации . (в ред . Федерального закона от 06.10.97 N 131-ФЗ ) (см . текст в предыдущей редакции ) Органы государственной власти , предприятия , учреждения и организации обеспечивают защиту сведений , составляющих государственную тайну , в соответствии с возложенными на них задачами и в пределах своей компетенции . Ответственность за организацию защиты сведений , составляющих государственную тайну , в органах государственной власти , на предприятиях , в учреждениях и организациях возлагается на их руководителей . В зависимости от объема работ с использованием сведений, составляющих государственную тайну , руководителями органов государственной власти , предприятий , учреждений и организаций создаются структурные подразделения по защите государственной тайны , функции которых определяются указанными руководителями в соответс т вии с нормативными документами , утверждаемыми Правительством Российской Федерации , и с учетом специфики проводимых ими работ. Защита государственной тайны является видом основной деятельности органа государственной власти , предприятия , учреждения или орган изации. Статья 26. Ответственность за нарушение законодательства Российской Федерации о государственной тайне Согласно Закона РФ от 19.02.93 N 4524-1 (ред . от 24.12.93) "О федеральных органах правительственной связи и информации ", а именно статья 10. "Обяз анности федеральных органов правительственной связи и информации " Федеральные органы правительственной связи и информации обязаны : ж ) обеспечивать безопасность правительственной связи Российской Федерации ; з ) координировать на безвозмездной основе в интер е сах обеспечения сохранения государственной и иной охраняемой законом тайны деятельность организаций , предприятий , учреждений независимо от их ведомственной принадлежности и форм собственности в области разработки , производства и поставки шифровальных сред с тв и оборудования специальной связи ; к ) участвовать в обеспечении защиты технических средств обработки , хранения и передачи секретной информации в учреждениях , находящихся за рубежом Российской Федерации , от ее утечки по техническим каналам ; А согласно ст а тья 11. "Права федеральных органов правительственной связи и информации " Федеральные органы правительственной связи и информации имеют право : п ) участвовать в разработке нормативных актов по реализации и контролю мер защиты технических средств обработки , х ранения и передачи секретной информации на местах их эксплуатации в учреждениях , находящихся за рубежом Российской Федерации ; т ) осуществлять контакты и сотрудничество с соответствующими службами иностранных государств по вопросам обеспечения правительств е нной международной связи , разведывательной деятельности в сфере шифрованной , засекреченной и иных видов специальной связи , защиты информации , организации шифрованной связи и поставок шифровальных средств ; ф ) выдавать рекомендации в соответствии с законода т ельством Российской Федерации по заявкам на изобретения , полезные модели и промышленные образцы в области шифровальных средств , разведывательной деятельности в сфере шифрованной , засекреченной и иных видов специальной связи , а также в пределах своей компе т енции по вопросам защиты помещений и технических средств от утечки информации ; 4. Подзаконные и ведомственные акты по защите гостайны : 1. ГОСТы по защите гостайны 2. Указы Президента по защите гостайны 3. Постановления Правительства по защите гостайны 4. В едомственные акты и ГОСТы по защите гостайны 1. Утвержден Указом Президента Российской Федерации от 30 ноября 1995 г . N 1203 ПЕРЕЧЕНЬ СВЕДЕНИЙ , ОТНЕСЕННЫХ К ГОСУДАРСТВЕННОЙ ТАЙНЕ 1. Перечень сведений , отнесенных к государственной тайне , содержит сведения в области военной , внешнеполитической , экономической , разведывательной , контрразведывательной и оперативно-розыскной деятельности государства , распространение которых может нанести ущерб безопасности Российской Федерации , а также наименования федеральных о р ганов исполнительной власти и других организаций (далее именуются - государственные органы ), наделенных полномочиями по распоряжению этими сведениями. Каждый из указанных в настоящем Перечне государственных органов наделяется полномочиями по распоряжению с ведениями отраслевой (ведомственной ) принадлежности в рамках его компетенции , определенной положением о конкретном государственном органе , а также сведениями других собственников информации соответствующей тематической направленности по их представлению. Н астоящий Перечень пересматривается по мере необходимости. Утверждено Указом Президента Российской Федерации от 20 января 1996 г . N 71 ПОЛОЖЕНИЕ О МЕЖВЕДОМСТВЕННОЙ КОМИССИИ ПО ЗАЩИТЕ ГОСУДАРСТВЕННОЙ ТАЙНЫ 1. Межведомственная комиссия по защите государственн ой тайны (далее именуется - Межведомственная комиссия ) образована в соответствии с Законом Российской Федерации "О государственной тайне " и Указом Президента Российской Федерации от 8 ноября 1995 г . N 1108 "О Межведомственной комиссии по защите государств е нной тайны ". 2. Правовую основу деятельности Межведомственной комиссии составляют Конституция Российской Федерации , Законы Российской Федерации "О безопасности ", "О государственной тайне ", Федеральный закон "Об информации , информатизации и защите информаци и ", указы и распоряжения Президента Российской Федерации , постановления и распоряжения Правительства Российской Федерации , регулирующие отношения в области защиты государственной тайны , а также настоящее Положение. 3. Межведомственная комиссия - коллегиаль ный орган , основной функцией которого является координация деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации (далее именуются - органы государственной власти ) по защите государственной т айны в интересах разработки и выполнения государственных программ , нормативных и методических документов , обеспечивающих реализацию федерального законодательства о государственной тайне. 2. Утверждены Постановлением Правительства Российской Федерации от 4 сентября 1995 г . N 870 ПРАВИЛА ОТНЕСЕНИЯ СВЕДЕНИЙ , СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ , К РАЗЛИЧНЫМ СТЕПЕНЯМ СЕКРЕТНОСТИ 1. Настоящие Правила разработаны в соответствии с Законом Российской Федерации "О государственной тайне " и являются обязательными для ис полнения органами государственной власти , руководители которых наделены полномочиями по отнесению сведений к государственной тайне , при разработке ими развернутого перечня сведений , подлежащих засекречиванию (далее именуется - перечень ), а также другими о р ганами государственной власти , органами местного самоуправления , предприятиями , учреждениями и организациями при подготовке предложений о включении в перечень сведений , собственниками которых они являются. 2. Перечень должен определять степень секретности конкретных сведений (группы сведений ), а его структура - учитывать ведомственную или отраслевую специфику. Утверждена Постановлением Правительства Российской Федерации от 28 октября 1995 г . N 1050 ИНСТРУКЦИЯ О ПОРЯДКЕ ДОПУСКА ДОЛЖНОСТНЫХ ЛИЦ И ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ К ГОСУДАРСТВЕННОЙ ТАЙНЕ 1. Настоящая Инструкция разработана в соответствии с Законом Российской Федерации "О государственной тайне ", другими актами действующ его законодательства , которые регулируют отношения , связанные с защитой государственной тайны , и определяет порядок допуска должностных лиц и граждан Российской Федерации (далее именуются - граждане ) к государственной тайне . Ее положения обязательны для в ы полнения органами государственной власти Российской Федерации , органами государственной власти субъектов Российской Федерации , органами местного самоуправления , предприятиями , учреждениями и организациями независимо от их организационно - правовой формы , к оторые выполняют работы , связанные с использованием сведений , составляющих государственную тайну , либо стремятся в установленном порядке получить лицензию на право проведения таких работ (далее именуются - организации ). 2. В федеральных органах исполнитель ной власти в соответствии с требованиями настоящей Инструкции , особенностями деятельности и характером выполняемых задач при необходимости могут разрабатываться ведомственные инструкции , которые согласовываются с Федеральной службой безопасности Российско й Федерации и утверждаются руководителями этих органов. 3. Допуск граждан к государственной тайне на территории Российской Федерации и за ее пределами осуществляется руководителями соответствующих организаций в порядке , установленном настоящей Инструкцией. Следующим документом Правительства по защите гостайны является Постановление № 1003 "Положение о порядке допуска лиц двойного гражданства , лиц без гражданства , иностранных граждан , эмигрантов и реэмигрантов к гостайне " (см . семин .2и 3, с .8). 3. Утверждена Ди ректором Федеральной службы безопасности Российской Федерации "23" августа 1995 г ., № 28 Инструкция о порядке проведения специальных экспертиз по допуску предприятий (учреждений и организаций ) к проведению работ , связанных с использованием сведений , состав ляющих государственную тайну 1. Настоящая Инструкция разработана в соответствии с требованиями Положения о лицензировании деятельности предприятий , учреждений и организаций по проведению работ , связанных с использованием сведений , составляющих государствен ную тайну , созданием средств защиты информации , а также с осуществлением мероприятий и оказанием услуг по защите государственной тайны , введенного в действие постановлением Правительства Российской Федерации от 15 апреля 1995г . № 333. 2. Настоящая Инструкц ия определяет порядок организации и проведения специальных экспертиз предприятий , учреждений и организаций (далее - предприятия ) на право осуществления ими работ , связанных с использованием сведений , составляющих государственную тайну (далее - специальная экспертиза ), на территории Российской Федерации. 3. Специальные экспертизы предприятий выполняются по следующим направлениям : а ) режим секретности ; б ) противодействие иностранной технической разведке ; в ) защита информации от утечки по техническим каналам. Утверждены решением Межведомственной комиссии по защите государственной тайны от 13 марта 1996 года № 3 Методические рекомендации по организации и проведению государственной аттестации руководителей предприятий , учреждений и организаций ответственных за . з ащиту сведений , составляющих государственную тайну 1. Настоящие Методические рекомендации разработаны в соответствии с "Положением о лицензировании деятельности предприятий , учреждений и организаций по проведению работ , связанных с использованием сведений, составляющих государственную тайну , созданием средств защиты информации , а также с осуществлением мероприятий и (или ) оказанием услуг по защите государственной тайны ", введенным в действие постановлением Правительства РФ от 15 апреля 1996 г . № 333. 2. Мето дических рекомендации устанавливают порядок организации и проведения государственной аттестации руководителей предприятий , учреждений и организаций (далее именуются - предприятия ), ответственных за защиту сведений , составляющих государственную тайну (дале е - аттестуемые ). 3. Государственная аттестация руководителей предприятий организуется Федеральной службой безопасности Российской Федерации и ее территориальными органами (на территории Российской Федерации ), Федеральным агентством правительственной связи и информации при президенте Российской Федерации (в пределах их компетенции ), а также министерствами и ведомствами , руководители которых наделены полномочиями по отнесению сведений к государственной тайне в отношении подведомственных им предприятий (далее именуются - органы государственной аттестации ). 4. Органами государственной аттестации на основании настоящих Методических рекомендаций могут быть разработаны ведомственные Положения о государственной аттестации руководителей , ответственных за защиту сведе ний , составляющих государственную тайну , учитывающие специфику их деятельности. 5. Государственная аттестация руководителей предприятий проводится с целью оценки знаний аттестуемого , необходимых для организации на предприятии защиты сведений , составляющих государственную тайну. 6. От государственной аттестации освобождается лицо , прошедшее курс обучения и имеющее свидетельство установленного образца об освоении специальных программ в учебных заведениях , уполномоченных осуществлять подготовку (повышение коди фикации , переподготовку ) специалистов по вопросам защиты информации , составляющей государственную тайну . Учебные заведения , уполномоченные осуществлять подготовку таких специалистов , определяются отдельным перечнем. ГОСТы по защите гостайны : ГОСТ РВ 50600- 93. Защита секретной информации от технической разведки . Система документов . Общие положения (закрытый ) ГОСТ РВ 50170-92. Противодействие ИТР . Термины и определения (закрытый ) Лекция 3. Правовое обеспечение защиты конфиденциальной информации Вопросы : 1. Пр авое определение понятия конфиденциальной информации . Сведения , относимые к КИ 2. Законодательные и правовые акты по защите КИ 3. Подзаконные акты по ЗКИ 1. Закон "Об информации , информационных технологиях и о защите информации ". Статья 2. Основные понятия , используемые в настоящем Федеральном законе В настоящем Федеральном законе используются следующие основные понятия : 1) информация - сведения (сообщения , данные ), независимо от формы их представления ; 2) информационные технологии - процессы , методы поиска , сбора , хранения , обработки , предоставления , распространения информации и способы осуществления таких процессов и методов ; 3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных техноло гий и технических средств ; 4) информационно-телекоммуникационная сеть - технологическая система , предназначенная для передачи по линиям связи информации , доступ к которой осуществляется с использованием средств вычислительной техники ; 5) обладатель информа ции - лицо , самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации , определяемой по каким-либо признакам ; 6) доступ к информации - возможность получения информации и ее испо льзования ; 7) конфиденциальность информации - обязательное для выполнения лицом , получившим доступ к определенной информации , требование не передавать такую информацию третьим лицам без согласия ее обладателя ; 8) предоставление информации - действия , напра вленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц ; 9) распространение информации - действия , направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц ; 10) электронное сообщение - информация , переданная или полученная пользователем информационно-телекоммуникационной сети ; 11) документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами , позво ляющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель ; 12) оператор информационной системы - гражданин или юридическое лицо , осуществляющие деятельность по эксплуатации информационно й системы , в том числе по обработке информации , содержащейся в ее базах данных. Статья 5. Информация как объект правовых отношений 1. Информация может являться объектом публичных , гражданских и иных правовых отношений . Информация может свободно использоват ься любым лицом и передаваться одним лицом другому лицу , если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения. 2. Информация , в зависимости от категории доступа к не й , подразделяется на общедоступную информацию , а также на информацию , доступ к которой ограничен федеральными законами (информация ограниченного доступа ). 3. Информация , в зависимости от порядка ее предоставления или распространения , подразделяется на : 1) информацию , свободно распространяемую ; 2) информацию , предоставляемую по соглашению лиц , участвующих в соответствующих отношениях ; 3) информацию , которая в соответствии с федеральными законами подлежит предоставлению или распространению ; 4) информацию , рас пространение которой в Российской Федерации ограничивается или запрещается. 4. Законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содержания или обладателя. Статья 8. Право на доступ к информации 1. Граждане ( физические лица ) и организации (юридические лица ) (далее - организации ) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований , установленных настоящим Федеральным законом и другими фе д еральными законами. 2. Гражданин (физическое лицо ) имеет право на получение от государственных органов , органов местного самоуправления , их должностных лиц в порядке , установленном законодательством Российской Федерации , информации , непосредственно затраги вающей его права и свободы. 3. Организация имеет право на получение от государственных органов , органов местного самоуправления информации , непосредственно касающейся прав и обязанностей этой организации , а также информации , необходимой в связи с взаимодей ствием с указанными органами при осуществлении этой организацией своей уставной деятельности. 4. Не может быть ограничен доступ к : 1) нормативным правовым актам , затрагивающим права , свободы и обязанности человека и гражданина , а также устанавливающим прав овое положение организаций и полномочия государственных органов , органов местного самоуправления ; 2) информации о состоянии окружающей среды ; 3) информации о деятельности государственных органов и органов местного самоуправления , а также об использовании б юджетных средств (за исключением сведений , составляющих государственную или служебную тайну ); 4) информации , накапливаемой в открытых фондах библиотек , музеев и архивов , а также в государственных , муниципальных и иных информационных системах , созданных или предназначенных для обеспечения граждан (физических лиц ) и организаций такой информацией ; 5) иной информации , недопустимость ограничения доступа к которой установлена федеральными законами. Статья 16. Защита информации 1. Защита информации представляет со бой принятие правовых , организационных и технических мер , направленных на : 1) обеспечение защиты информации от неправомерного доступа , уничтожения , модифицирования , блокирования , копирования , предоставления , распространения , а также от иных неправомерных д ействий в отношении такой информации ; 2) соблюдение конфиденциальности информации ограниченного доступа ; 3) реализацию права на доступ к информации. 2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления треб ований о защите информации , а также ответственности за нарушение законодательства Российской Федерации об информации , информационных технологиях и о защите информации. 3. Требования о защите общедоступной информации могут устанавливаться только для достиже ния целей , указанных в пунктах 1 и 3 части 1 настоящей статьи. 4. Обладатель информации , оператор информационной системы в случаях , установленных законодательством Российской Федерации , обязаны обеспечить : 1) предотвращение несанкционированного доступа к и нформации и (или ) передачи ее лицам , не имеющим права на доступ к информации ; 2) своевременное обнаружение фактов несанкционированного доступа к информации ; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации ; 4 ) недопущение воздействия на технические средства обработки информации , в результате которого нарушается их функционирование ; 5) возможность незамедлительного восстановления информации , модифицированной или уничтоженной вследствие несанкционированного дост упа к ней ; 6) постоянный контроль за обеспечением уровня защищенности информации. Статья 17. Ответственность за правонарушения в сфере информации , информационных технологий и защиты информации 1. Нарушение требований настоящего Федерального закона влечет з а собой дисциплинарную , гражданско-правовую , административную или уголовную ответственность в соответствии с законодательством Российской Федерации. 2. Лица , права и законные интересы которых были нарушены в связи с разглашением информации ограниченного до ступа или иным неправомерным использованием такой информации , вправе обратиться в установленном порядке за судебной защитой своих прав , в том числе с исками о возмещении убытков , компенсации морального вреда , защите чести , достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом , не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица. 2. Конституция РФ : Статья 23 1. Каждый имеет право на неприкосновенность частной жизни , личную и семейную тайну , защиту своей чести и доброго имени. 2. Каждый имеет п раво на тайну переписки , телефонных переговоров , почтовых , телеграфных и иных сообщений . Ограничение этого права допускается только на основании судебного решения. Статья 24 1. Сбор , хранение , использование и распространение информации о частной жизни лица без его согласия не допускаются. 2. Органы государственной власти и органы местного самоуправления , их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами , непосредственно затрагивающими его права и свободы , ес ли иное не предусмотрено законом ГК РФ : Статья 139. Служебная и коммерческая тайна 1. Информация составляет служебную или коммерческую тайну в случае , когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее тре тьим лицам , к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения , которые не могут составлять служебную или коммерческую тайну , определяются законом и иными правовыми актами. 2. Информация , составляющая служебную или коммерческую тайну , защищается способами , предусмотренными настоящим Кодексом и другими законами. Лица , незаконными методами получившие информацию , которая составляет служебную или коммерческую тайну , обязаны возмести ть причиненные убытки . Такая же обязанность возлагается на работников , разгласивших служебную или коммерческую тайну вопреки трудовому договору , в том числе контракту , и на контрагентов , сделавших это вопреки гражданско-правовому договору. Статья 727. Конф иденциальность полученной сторонами информации Если сторона благодаря исполнению своего обязательства по договору подряда получила от другой стороны информацию о новых решениях и технических знаниях , в том числе не защищаемых законом , а также сведения , кот орые могут рассматриваться как коммерческая тайна (статья 139), сторона , получившая такую информацию , не вправе сообщать ее третьим лицам без согласия другой стороны. Порядок и условия пользования такой информацией определяются соглашением сторон. Статья 7 71. Конфиденциальность сведений , составляющих предмет договора 1. Если иное не предусмотрено договорами на выполнение научно-исследовательских работ , опытно-конструкторских и технологических работ , стороны обязаны обеспечить конфиденциальность сведений , ка сающихся предмета договора , хода его исполнения и полученных результатов . Объем сведений , признаваемых конфиденциальными , определяется в договоре. 2. Каждая из сторон обязуется публиковать полученные при выполнении работы сведения , признанные конфиденциаль ными , только с согласия другой стороны. Статья 857. Банковская тайна 1. Банк гарантирует тайну банковского счета и банковского вклада , операций по счету и сведений о клиенте. 2. Сведения , составляющие банковскую тайну , могут быть предоставлены только самим клиентам или их представителям . Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и в порядке , предусмотренных законом. 3. В случае разглашения банком сведений , составляющих банковскую тайну , кл иент , права которого нарушены , вправе потребовать от банка возмещения причиненных убытков. УПК РФ : Статья 12. Неприкосновенность жилища , охрана личной жизни и тайны переписки Гражданам гарантируется неприкосновенность жилища . Никто не имеет права без закон ного основания войти в жилище против воли проживающих в нем лиц. Личная жизнь граждан , тайна переписки , телефонных переговоров и телеграфных сообщений охраняются законом. Обыск , выемка , осмотр помещения у граждан , наложение ареста на корреспонденцию и выем ка ее в почтово - телеграфных учреждениях могут производиться только на основаниях и в порядке , установленных настоящим Кодексом. Статья 139. Недопустимость разглашения данных предварительного следствия Данные предварительного следствия могут быть преданы гласности лишь с разрешения следователя или прокурора и в том объеме , в каком они признают это возможным. В необходимых случаях следователь предупреждает свидетелей , потерпевшего , гражданского истца , гражданского ответчика , защитника , эксперта , специалиста , переводчика , понятых и других лиц , присутствующих при производстве следственных действий , о недопустимости разглашения без его разрешения данных предварительного следствия . От указанных лиц отбирается подписка с предупреждением об ответственности статье й 310 Уголовного кодекса Российской Федерации . (в ред . Федерального закона от 21.12.96 N 160-ФЗ ) (см . текст в предыдущей редакции ) (в ред . Указа Президиума Верховного Совета РСФСР от 31.08.66 - Ведомости Верховного Совета РСФСР , 1966, N 36, ст .1018) Статья 302. Тайна совещания судей Приговор постановляется судом в совещательной комнате . Во время совещания судей в совещательной комнате могут находиться лишь судьи , входящие в состав суда по данному делу . Присутствие иных лиц не допускается. С наступлением ночн ого времени суд вправе прервать совещание для отдыха . Судьи не могут разглашать суждения , имевшие место во время совещания. Статья 452. Тайна совещания присяжных заседателей Присяжные заседатели не могут разглашать суждения , имевшие место во время совещани я. УК РФ : Статья 137. Нарушение неприкосновенности частной жизни 1. Незаконное собирание или распространение сведений о частной жизни лица , составляющих его личную или семейную тайну , без его согласия либо распространение этих сведений в публичном выступле нии , публично демонстрирующемся произведении или средствах массовой информации , если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан , - наказываются штрафом в размере от двухсот до п ятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев , либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов , либо исправительными работами на срок до одного года , либо арестом на срок до четырех месяцев. 2. Те же деяния , совершенные лицом с использованием своего служебного положения , - наказываются штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев , либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет , либо арестом на срок от четырех до шести месяцев. Статья 138. Нару шение тайны переписки , телефонных переговоров , почтовых , телеграфных или иных сообщений 1. Нарушение тайны переписки , телефонных переговоров , почтовых , телеграфных или иных сообщений граждан - наказывается штрафом в размере от пятидесяти до ста минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца , либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов , либо исправительными работами на срок до одного года. 2. То же дея ние , совершенное лицом с использованием своего служебного положения или специальных технических средств , предназначенных для негласного получения информации , - наказывается штрафом в размере от ста до трехсот минимальных размеров оплаты труда или в размер е заработной платы или иного дохода осужденного за период от одного до трех месяцев , либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет , либо арестом на срок от двух до четырех месяцев. 3. Незаконные производство , сбыт или приобретение в целях сбыта специальных технических средств , предназначенных для негласного получения информации , - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере за р аботной платы или иного дохода осужденного за период от двух до пяти месяцев , либо ограничением свободы на срок до трех лет , либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельност ь ю на срок до трех лет. Статья 155. Разглашение тайны усыновления (удочерения ) Разглашение тайны усыновления (удочерения ) вопреки воле усыновителя , совершенное лицом , обязанным хранить факт усыновления (удочерения ) как служебную или профессиональную тайну , либо иным лицом из корыстных или иных низменных побуждений , - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев , либо исправит е льными работами на срок до одного года , либо арестом на срок до четырех месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. Статья 183. Незаконные получение и разглашение сведений , составляющих коммерческую или банковскую тайну 1. Собирание сведений , составляющих коммерческую или банковскую тайну , путем похищения документов , подкупа или угроз , а равно иным незаконным способом в целях разглашения либо незаконного использован ия этих сведений - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет. 2. Незаконные р азглашение или использование сведений , составляющих коммерческую или банковскую тайну , без согласия их владельца , совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб , - наказываются штрафом в размере от двухсот до пятис о т минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере з аработной платы или иного дохода осужденного за период до одного месяца либо без такового. Статья 310. Разглашение данных предварительного расследования Разглашение данных предварительного расследования лицом , предупрежденным в установленном законом порядк е о недопустимости их разглашения , если оно совершено без согласия прокурора , следователя или лица , производящего дознание , - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного доход а осужденного за период от одного до двух месяцев , либо исправительными работами на срок до двух лет , либо арестом на срок до трех месяцев. Статья 311. Разглашение сведений о мерах безопасности , применяемых в отношении судьи и участников уголовного процесса 1. Разглашение сведений о мерах безопасности , применяемых в отношении судьи , присяжного заседателя или иного лица , участвующего в отправлении правосудия , судебного пристава , судебного исполнителя , потерпевшего , свидетеля , других участников уголовного проц есса , а равно в отношении их близких , если это деяние совершено лицом , которому эти сведения были доверены или стали известны в связи с его служебной деятельностью , - наказывается штрафом в размере от двухсот до четырехсот минимальных размеров оплаты труд а или в размере заработной платы или иного дохода осужденного за период от двух до четырех месяцев , либо ограничением свободы на срок до двух лет , либо арестом на срок до четырех месяцев. 2. То же деяние , повлекшее тяжкие последствия , - наказывается лишение м свободы на срок до пяти лет. Статья 320. Разглашение сведений о мерах безопасности , применяемых в отношении должностного лица правоохранительного или контролирующего органа 1. Разглашение сведений о мерах безопасности , применяемых в отношении должностног о лица правоохранительного или контролирующего органа , а также его близких , если это деяние совершено в целях воспрепятствования его служебной деятельности , - наказывается штрафом в размере от двухсот до четырехсот минимальных размеров оплаты труда или в р азмере заработной платы или иного дохода осужденного за период от двух до четырех месяцев либо арестом на срок до четырех месяцев. 2. То же деяние , повлекшее тяжкие последствия , - наказывается лишением свободы на срок до пяти лет. КоБС : Статья 110. Обеспеч ение тайны усыновления Тайна усыновления охраняется законом . Для обеспечения тайны усыновления по просьбе усыновителя может быть изменено место рождения усыновленного ребенка , а также в исключительных случаях дата его рождения , но не более чем на шесть мес яцев . Об изменении места и даты рождения должно быть указано в решении об усыновлении. Воспрещается без согласия усыновителей , а в случае их смерти без согласия органов опеки и попечительства сообщать какие-либо сведения об усыновлении , а также выдавать вы писки из книг регистрации актов гражданского состояния , из которых было бы видно , что усыновители не являются кровными родителями усыновленного. Лица , разгласившие тайну усыновления против воли усыновителя , могут быть привлечены к ответственности в установ ленном законом порядке. 3. УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента Российской Федерации , Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти постановляю : Утвердить прилагаемый Перечень сведений конфиденциального характера. Президент Российской Федерации Б . ЕЛЬЦИН Москва , Кремль 6 марта 1997 года N 188. ПЕРЕЧЕНЬ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА 1. Сведения о фактах , событиях и обстоятельствах частной жизни гражданина , позволяющие идентифицировать его личность (персональные данные ), за исключением сведений , подлежащих распространению в средствах массов ой информации в установленных федеральными законами случаях. 2. Сведения , составляющие тайну следствия и судопроизводства. 3. Служебные сведения , доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Фе дерации и федеральными законами (служебная тайна ). 4. Сведения , связанные с профессиональной деятельностью , доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная , нотариальная , адвокатская тайна , т айна переписки , телефонных переговоров , почтовых отправлений , телеграфных или иных сообщений и так далее ). 5. Сведения , связанные с коммерческой деятельностью , доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федераль ными законами (коммерческая тайна ). 6. Сведения о сущности изобретения , полезной модели или промышленного образца до официальной публикации информации о них. ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 3 ноября 1994г . N 1233 г . Москва Об утверждени и Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти Правительство Российской Федерации п о с т а н о в л я е т : 1. Утвердить прилагаемое Положение о порядке обращения со служебн ой информацией ограниченного распространения в федеральных органах исполнительной власти. 2. Установить , что служебная информация , содержащаяся в подготавливаемых в федеральных органах исполнительной власти проектах указов и распоряжений Президента Российс кой Федерации , постановлений и распоряжений Правительства Российской Федерации , других служебных документов , не подлежит разглашению (распространению ). Лекция 4. Нормативно-правовые акты по защите компьютерной информации . Предупреждение нарушений норм защи ты информации Вопросы : 1. Преступления в сфере компьютерной информации Ответственность за преступления в сфере к . и. Подзаконные и ведомственные акты в области защиты к . и. 4. Предупреждение нарушений норм защиты информации 1. Родовым объектом преступлений в сфере компьютерной информации выступает совокупность специфических общественных отношений , составляющих содержание общественной безопасности и общественного порядка . Именно поэтому рассматриваемая группа преступлений помещена в раздел 9 Особенной части УК - "Преступления против общественной безопасности и общественного порядка ". Отличительный признак компьютерных преступлений - особый предмет посягательства . Компьютерная информация как предмет преступного посягательства может содержаться (находиться ) как на машинном носителе , так и в памяти ЭВМ , циркулировать по каналам связи , объединяющим ЭВМ в единую систему или сеть. Преступления , имеющие своим предметом не компьютерную информацию , а электронно-вычислительную технику как аппаратную структуру , подпадают под совершенно иной вид правонарушений , посягающих на охраняемые уголовным законом отношения собственности . Например , если виновный сжигает микропроцессор , выводит из строя монитор или похищает ЭВМ , то содеянное надлежит квалифицировать по соответствующи м статьям главы 21 Особенной части УК РФ. В принципе , можно предположить случаи , когда вредоносное воздействие на ЭВМ осуществляется путем непосредственного влияния на нее информационных команд . Это возможно , если преступнику удается ввести движущиеся части машины (диски , принтер ) в резонансную частоту , увеличить яркость дисплея или его части для прожигания люминофора , зациклить работу компьютера таким образом , чтобы при использовании минимального количества его участков произошел их разогрев и вывод из стр о я . Однако в этих случаях преступному посягательству подвергаются сразу два объекта уголовно-правовой охраны . Именно поэтому квалификацию содеянного надлежит проводить по совокупности преступлений : против собственности и в сфере компьютерной информации. Поч ти все составы преступлений в сфере компьютерной информации относятся к преступлениям небольшой (ч .1 ст .272 и ч .1 ст .274 УК ) и средней (ч .2 ст .272, ч .3 ст .273 и ч .2 ст .274 УК ) тяжести , и только один состав (ч .2 ст .273 УК ) - к тяжким преступлениям. Обществе нно опасные деяния чаще всего выступают в форме активных действий и лишь иногда - как бездействие . Примером последнего может служить пассивная деятельность лица , выраженная в несоблюдении установленных правил эксплуатации ЭВМ , системы ЭВМ или их сети (нап р имер , лицо не проверяет машинный носитель информации на наличие вредоносной программы ). Определенную сложность может вызвать вопрос , связанный с установлением места совершения компьютерного преступления . С развитием информационных сетей , объединивших польз ователей практически из всех развитых стран мира , место совершения общественно опасного деяния все реже может совпадать с местом реального наступления общественно-опасных последствий . Действующее уголовное законодательство не содержит прямых указаний отно с ительно этого вопроса . Но по мнению многих ученых местом компьютерного преступления следует признавать территорию того государства , где совершены общественно опасные деяния независимо от места наступления преступных последствий. С субъективной стороны прес тупления в сфере компьютерной информации характеризуются виной в форме умысла. Факультативные признаки субъективной стороны компьютерных преступлений для квалификации значения не имеют , но учитываются судом в качестве смягчающих или отягчающих обстоятельст в при назначении виновному наказания . По данным В.П . Панова , соотношение корысти с другими мотивами компьютерных преступлений составляет 66%. В течение длительного времени в филиале Калифорнийского университета в Лос-Анджелесе действовала группа преступни к ов , продававшая изготовленные по последнему слову техники фальшивые дипломы и документы о присвоении ученого звания . За 25 тысяч долларов любой желающий мог получить "высшее образование " или стать "профессором ". Расследованием установлено , что преступники сумели проникнуть в память университетской ЭВМ , в которой хранился весь массив информации о выпускниках и научных сотрудниках этого учебного заведения . С помощью особых кодов они вводили в ЭВМ данные о псевдовыпускниках университета , на основании которых к омпьютер автоматически выдавал необходимый документ. Наряду с корыстью , мотивами компьютерных преступлений могут быть хулиганские побуждения , спортивный интерес , чувство мести и т.д . Например , практике известен случай , когда группа студентов , подключившись к ЭВМ одного западноевропейского военного ведомства , получила возможность повышать людей в звании , назначать на новые должности с баснословным жалованием и т.д . Следует иметь в виду , что компьютеризация все шире проникает в экспертную деятельность органо в государственной власти . В частности , в настоящее время достаточно широкую известность приобрели автотранспортные экспертизы , проводимые с использованием компьютерной техники . Поэтому нельзя исключать возможность совершения рассматриваемых деяний с целью с крыть другое преступление. 2. Ответственность за преступления в сфере компьютерной информации в качестве субъекта могут нести физические вменяемые лица , достигшие 16-летнего возраста. На основе проведенного анализа признаков компьютерных преступлений их оп ределение можно сформулировать следующим образом . Преступлениями в сфере компьютерной информации являются умышленно совершенные общественно опасные деяния , запрещенные уголовным законом под угрозой наказания , посягающие на общественные отношения по правом е рному и безопасному использованию компьютерной информации ., посредством прямого воздействия на нее. УК РФ : Статья 272. Неправомерный доступ к компьютерной информации 1. Неправомерный доступ к охраняемой законом компьютерной информации , то есть информации н а машинном носителе , в электронно-вычислительной машине (ЭВМ ), системе ЭВМ или их сети , если это деяние повлекло уничтожение , блокирование , модификацию либо копирование информации , нарушение работы ЭВМ , системы ЭВМ или их сети , - наказывается штрафом в ра з мере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев , либо исправительными работами на срок от шести месяцев до одного года , либо лишением свободы на сро к до двух лет. 2. То же деяние , совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения , а равно имеющим доступ к ЭВМ , системе ЭВМ или их сети , - наказывается штрафом в размере о т пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев , либо исправительными работами на срок от одного года до двух лет , либо арестом на срок от трех до шес т и месяцев , либо лишением свободы на срок до пяти лет. Статья 273. Создание , использование и распространение вредоносных программ для ЭВМ 1. Создание программ для ЭВМ или внесение изменений в существующие программы , заведомо приводящих к несанкционированном у уничтожению , блокированию , модификации либо копированию информации , нарушению работы ЭВМ , системы ЭВМ или их сети , а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на с р ок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев. 2. Те же деяния , повлекшие по неосторожности тяжкие последствия , - на казываются лишением свободы на срок от трех до семи лет. Статья 274. Нарушение правил эксплуатации ЭВМ , системы ЭВМ или их сети 1. Нарушение правил эксплуатации ЭВМ , системы ЭВМ или их сети лицом , имеющим доступ к ЭВМ , системе ЭВМ или их сети , повлекшее ун ичтожение , блокирование или модификацию охраняемой законом информации ЭВМ , если это деяние причинило существенный вред , - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет , либо обяза т ельными работами на срок от ста восьмидесяти до двухсот сорока часов , либо ограничением свободы на срок до двух лет. 2. То же деяние , повлекшее по неосторожности тяжкие последствия , - наказывается лишением свободы на срок до четырех лет. 3. ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ ........... КОМИССИЯ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ РЕШЕНИЕ № 61 " " октября 1997 г . "О защите информации при вхождении России в международную информационную систему "Интернет " ГОСТЕХКОМИССИЯ РОССИИ РУКОВОДЯЩИЙ ДОКУМЕНТСредства антивирусн ой защиты . Показатели защищенности и требования по защите от вирусов. Настоящий руководящий документ устанавливает классификацию антивирусных средств (АВС ), и требования по антивирусной защите информации в автоматизированных системах (АС ) различных классов защищенности. Под АВС в данном документе понимается ориентированное на применение в составе конкретных АС программное (программно-аппаратное или аппаратное ) средство защиты от вирусов и вирусоподобных воздействий . При использовании АВС совместно со средст вами защиты от НСД , допускается выполнение отдельных требований за счет функций используемых средств защиты от НСД . Руководящий документ разработан в дополнение к РД “СВТ . Защита от НСД ... ” . Документ может использоваться как нормативно-методический матер и ал для заказчиков и разработчиков АВС при формулировании и реализации требований по антивирусной защите. РУКОВОДЯЩИЙ ДОКУМЕНТ СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ . МЕЖСЕТЕВЫЕ ЭКРАНЫ . ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ . ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ О ТНЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ Настоящий руководящий документ устанавливает классификацию межсетевых экранов (МЭ ) по уровню защищенности от несанкционированного доступа (НСД ) к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под сетями ЭВМ , распределенными автоматизированными системами (АС ) в данном документе понимаются соединенные каналами связи системы обработки данных , ориентированные на конкретного пользователя. МЭ представляет собой локальное (о днокомпонентное ) или функционально-распределенное средство (комплекс ), реализующее контроль за информацией , поступающей в АС и /или выходящей из АС , и обеспечивает защиту АС посредством фильтрации информации , т.е . ее анализа по совокупности критериев и при н ятия решения о ее распространении в (из ) АС. Руководящий документ разработан в дополнение к Руководящим документам Гостехкомиссии России “Средства вычислительной техники . Защита от несанкционированного доступа к информации . Показатели защищенности от несан кционированного доступа к информации . ” , М ., Военное издательство , 1992 и “Автоматизированные системы . Защита от несанкционированного доступа к информации . Классификация автоматизированных систем и требования по защите информации ", М ., Военное издательств о , 1992. Документ предназначен для заказчиков и разработчиков МЭ , а также сетей ЭВМ , распределенных автоматизированных систем с целью использования при формулировании и реализации требований по их защите от НСД к информации. 4. Правовые основы выявления и п редупреждения утечки охраняемой информации . Правовое регулирование организации и проведения административного расследования по фактам нарушения установленного порядка ЗИ Правовые основы выявления и предупреждения утечки. Право является эффективным регулято ром социального развития всех общественных отношений , включая те , которые складываются в сфере предупреждения преступности. Сразу оговоримся : не всякое нарушение норм защиты информации является преступлением , но речь будет идти о преступлениях , как самых т яжких правонарушениях. Наука , изучающая преступление , называется - криминология . Буквально , в переводе - учение о преступлении . Однако , фактическое содержание науки криминологии гораздо шире и многоаспектнее . Криминология изучает преступность , виды преступ ности , преступления ; их причины , иные виды их взаимосвязей с различными явлениями и процессами ; результативность принимавшихся мер по борьбе с преступностью. Право способствует реализации антикриминогенного потенциала всего общества. Правовая основа предуп реждения преступности имеет сложную структуру , включает в себя нормы различных отраслей права. Важные положения , определяющие роль и значение предупредительной деятельности , ее содержание и направленность , обязательное соответствие принципам справедливости , гуманности , законности , содержатся в ряде международных правовых актов. Базисное значение для правового обеспечения мер предупреждения преступности имеет ряд положений Конституции РФ. Значение уголовного права для правового регулирования предупреждения п реступности определяется прежде всего тем , что его нормами очерчен круг деяний , запрещенных под угрозой уголовной ответственности . Предупредительный эффект уголовно-правовых норм достигается в том числе посредством их воздействия на правосознание граждан. Способствует предупреждению преступности и весь процесс исполнения наказаний. Большое значение для правового регулирования предупреждения преступлений имеют нормы уголовно-процессуального закона. Нормы рассмотренных отраслей права несут основную нагрузку в деле юридического упорядочения процесса предупреждения преступности . Характер сложной предупредительной деятельности таков , что в ней находят применение нормы не только тех отраслей права , которые непосредственно нацелены на противодействие преступности, но и ряд других . Это нормы гражданского , семейного , финансового и других отраслей права. Оптимальная организация предупредительной деятельности немыслима без ее всестороннего , качественного информационного обеспечения . Если иметь в виду правоохранительные органы , то следует сказать , что именно их предупредительная деятельность требует постоянного сбора и использования обширного круга сведений , относящихся не только к внутренней , но и внешней информации . Наряду с правовой и собственно криминологической это и нформация - экономическая , политическая , социальная , демографическая , социально-психологическая , технологическая и др. Коснувшись общих вопросов предупреждения преступности , остановимся на предупреждении нарушений норм защиты информации на примере предупре ждения неправомерного доступа к компьютерной информации (ст .272 УК РФ ), так как это преступление имеет определенную специфику , характеризуется высочайшим уровнем латентности и низким уровнем раскрываемости (по данным зарубежной статистики из 10 обнаруженн ы х преступлений раскрывается одно ). Предупреждение неправомерного доступа к компьютерной информации представляет собой деятельность по совершенствованию общественных отношений в целях максимального затруднения , а в идеале - полного недопущения возможности н еправомерного доступа к компьютерной информации , хранящейся на машинных носителях ; а также к устройствам ввода данных в персональный компьютер и их получения. Задачами предупреждения неправомерного доступа к компьютерной информации в соответствии со ст .20 Федерального закона "Об информации , информатизации и защите информации " являются : предотвращение утечки , хищения , утраты , искажения , подделки информации ; предотвращение угроз безопасности личности , общества и государства ; предотвращение несанкционированных действий по уничтожению , модификации , искажению , копированию , блокированию информации ; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы , обеспечение правового режима документированной информации как об ъекта собственности ; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных , имеющихся в информационных системах ; сохранение государственной тайны , конфиденциальности документированной информации в соответст вии с законодательством ; обеспечение прав субъектов в информационных процессах и при разработке , производстве и применении информационных систем , технологий , средств их обеспечения. Для выполнения поставленных задач используются средства защиты информации - технические , криптографические , и другие средства , предназначенные для защиты сведений . Понятие защиты данных включает в себя как разработку и внедрение соответствующих методов защиты , так и их постоянное использование . Методы защиты компьютерной информ а ции условно делятся на правовые , организационные и технические. Поскольку разновидностью неправомерного доступа к компьютерной информации являются разного рода хищения с использованием поддельных электронных карточек , необходимо выделить специфические орга низационные и программно-технические средства их защиты . Организационная защита кредитных карт должна включать прежде всего проверку их обеспеченности . Последнее зачастую не делается из-за опасений поставить такой проверкой клиента в неловкое положение . К р оме того , необходимо : обеспечить секретность в отношении предельных сумм , свыше которых производится проверка обеспеченности карты ; регистрировать все операции с карточками ; ужесточить условия выдачи банками кредитных карт. Программно-техническая защита эл ектронных карт основывается на нанесении на магнитную полоску набора идентификационных признаков , которые не могут быть скопированы , а также узора из полос , нанесенного магнитными чернилами и запрессованного в материал карточки ; использовании современных м атериалов , отказе от видимой на карточке подписи ее владельца. В соответствии со ст .21 Федерального закона "Об информации , информатизации и защите информации " контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-тех нических средств защиты , а также обеспечение организационных мер защиты информационных систем , обрабатывающих информацию с ограниченным доступом в негосударственных структурах , осуществляется органами государственной власти . Контроль проводиться в порядке, определяемом Правительством РФ . Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения эт и х требований . Он также вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах . Соответствующие органы определяет Правительство Российской Федерации . Эти орг а ны соблюдают условия конфиденциальности самой информации и результатов проверки. Субъектами , осуществляемыми профилактику неправомерного доступа к компьютерной информации , являются : Правоохранительные органы , поскольку профилактическая деятельность составл яет обязательную часть правоохранительной деятельности . К ним относятся прокуратура , органы внутренних дел , налоговой полиции , федеральной службы безопасности. Органы межведомственного контроля : Комитет по политике информатизации при Президенте РФ , Палата по информационным спорам при Президенте РФ. Органы исполнительной власти : Федеральное агентство правительственной связи и информации при Президенте РФ , Министерство связи и информатизации , Гостехкомиссия. Международные органы и общественные организации : Ме ждународная академия информатизации. Непосредственные руководители предприятий и организаций , в которых обращается конфиденциальная информация , ответственные сотрудники по информационной безопасности. 2. Правовое регулирование организации и проведения адми нистративного расследования по фактам нарушений (На примере расследования НСД к компьютерной информации (к . и )). Поводами к возбуждению уголовного дела по ст .272 УК будут являться : сообщения должностных лиц организаций (более 1/3); непосредственное обнаруж ение органом дознания , следователем или прокурором сведений , указывающих на признаки преступления ; заявления граждан ; сообщения в СМИ и др. В зависимости от источника и содержания сведений о НСД к к . и . могут складываться следующие проверочные ситуации : НС Д обнаружен при реализации к . и . незаконным пользователем. 2. НСД обнаружен законным пользователем по записи в автоматически ведущемся в компьютере "Журнале оператора " (журнале контроля доступа ) без установления нарушителя. 3. НСД обнаружен законным пользо вателем с фиксацией на своем ПК данных о лице-нарушителе. 4. НСД обнаружен оператором на месте преступления. 5. Есть сведения об имевшем место НСД ("взломаны " терминалы и нарушители незаконно связываются с … ). В случае 5. требуется провести проверочные дей ствия по ст .109 УПК : получить объяснения, произвести осмотр места происшествия, истребовать необходимые материалы, осуществить оперативно-розыскные мероприятия. Первоначальный этап расследования (НСД к к . и ) 1. Получение объясн ений от : инженеров-программистов (разработчиков ПО , отладчиков , обслуживающего персонала ) операторов электронщиков отдела ТО ВЦ (эксплуатация и ремонт ) системщиков инженеров по телекоммуникационному оборудованию специалистов по обеспечению безопасности и д р. 2. Осмотр места происшествия 3. Истребование необходимых материалов 4. Оперативно-розыскные мероприятия Последующий этап расследования В зависимости от складывающейся следственной ситуации следователь проводит комплекс следственных действий , в число кот орых входит : допрос обвиняемого (-мых ) очные ставки назначение экспертиз предъявление для опознания следственный эксперимент проверка и уточнение показаний на месте. Лекция 5. Задачи систем обеспечения безопасности информации в автоматизированных системах Вопросы : 1. Возможные угрозы безопасности информации и их специфика 2. Задачи систем обеспечения безопасности информации 1. Роль информации в жизни общества чрезвычайно высока . Адекватное поведение каждого члена общества возможно только при наличии полной и достоверной информации о среде его деятельности и предмете его устремлений , при обеспечении безопасности конфиденциальной информации , находящейся в его распоряжении . Соответственно , и выполнение возложенных на АС функций возможно при соблюдении тех же у с ловий. Событие (или действие ), которое может вызвать нарушение функционирования АС , включая искажение , уничтожение или несанкционированное использование обрабатываемой в ней информации , называется угрозой . Возможность реализации тех или иных угроз в АС зав исит от наличия в ней уязвимых мест . Количество и специфика уязвимых мест определяется видом решаемых задач , характером обрабатываемой информации , аппаратно-программными особенностями АС , наличием средств защиты и их характеристик. Рассмотрим обобщенный пе речень возможных угроз , типичный для любой АС , основываясь на материалах , изложенных в [1]. Условно все возможные угрозы можно разделить на три группы в соответствии с тремя видами источников угроз (табл . 1). Угрозы первой группы независимы от людей . Они л ибо связаны с прямым физическим воздействием на элементы AC (ураганы , наводнения , пожары и т.п .) и недуг к нарушению работы АС и физическому уничтожению носителей информации , средств обработки и передачи данных , обслуживающего персонала , либо оказывают эл е ктромагнитное воздействие на магнитные носители информации , электронные средства обработки и передачи данных , обслуживающий персонал и ведут к отказам и сбоям аппаратуры , искажению или уничтожению информации , ошибкам персонала. Угрозы второй группы связаны с надежностью технических средств систем обеспечения работы АС . Сюда относятся внезапное временное прекращение работы АС , ведущее к потерям информации и управления объектами в управляющих АС , а также ненадежная работа аппаратно-программных средств , ведущ а я к искажению и потерям информации , нарушениям в управлении объектами. К угрозам этой же группы относятся электромагнитные излучения , за счет которых осуществляется несанкционированный перенос информации за пределы АС , что приводит к утечке информации , и у течка информации через легальные каналы связи за счет имеющейся возможности снятия ее специальными датчиками или посредством прямого подключения. Угрозы третьей группы связаны с наличием людей как в АС , так и вне ее. К данной группе относятся случайные неп реднамеренные действия пользователей , ошибки операторов , программистов , управленческого персонала , сотрудников архивной службы и службы безопасности , которые ведут к искажению или уничтожению информации , нарушению выполнения АС своих функций , ошибкам в ра б оте программ и средствах управления безопасностью АС Таблица I Источники возможных угроз Природные Технические Созданные людьми Стихийные бедствия Магнитные бури 1.3 Радиоактивное излучение и осадки и т.п. Отключения или колебания электропитания и др угих средств обеспечения Отказы и сбои аппаратно-программных средств 2.3 Электромагнитные излучения и наводки 2.4 Утечки через каналы связи (оптические , электрические , звуковые ) и т . н. Непреднамеренные действия обслуживающего персонала управленческого пер сонала программистов пользователей АС архивной службы службы безопасности Преднамеренные действия : обслуживающего персонала управленческого персонала программистов пользователей АС архивной службы службы безопасности несанкционированных пользователей (воен ная разведка , коммерческий шпионаж , диверсии Угрозы третьей группы связаны и с преднамеренными действиями людей , направленными на нанесение ущерба АС , получение личных привилегий и доходов . Данная группа угроз является наиболее многочисленной . Возмо жны : маскировка под законного пользователя ; распечатка или вывод на экран большого числа файлов с целью обеспечения утечки информации ; проникновение в систему управления безопасностью с целью изменения ее характеристик ; организация отказа для пользователей в использовании ресурсов ; передача информации неверному абоненту ; злонамеренное разрушение ресурсов АС ; ввод ложных данных ; незаконное копирование или кража носителей информации , перехват чужих сообщении ; порождение правдоподобных сообщений или модификаци я передаваемых сообщений ; забастовки , саботаж ; клевета , мистификация угроз , шантаж ; искажение программ , внедрение вирусов "троянских коней " и т.п . (данный вид угроз может относиться к группам 3.1 и 3.2 в связи с тем , что такого типа программы могут разраба тываться в самых различных целях , в том числе и специально разработанные "боевые вирусы " для выведения из строя военных объектов , однако , указанные про 1раммы могут быть внесены пользователем или персоналом АС не преднамеренно ); установка разведывательной а ппаратуры. 2. Задачи систем обеспечения безопасности информации Из приведенного перечня угроз для безопасности информации следует , что АС имеет ряд особенностей , позволяющих бесконтрольно манипулировать информацией как персоналу АС , так и посторонним лицам , а также скрытно получать доступ к обрабатываемой информации на значительном расстоянии от СВТ . Поэтому конфиденциальная информация АС без средств защиты может быть достаточно легко скомпрометирована , что вызовет значительные политические , экономические, моральные и другие потери для собственника (владельца ) такой информации . В связи с этим принятие решения о вводе конфиденциальной информации в АС необходимо проводить с учетом определенного риска , который может быть значительно уменьшен или практически ис к лючен с использованием соответствующих средств и мер защиты. Применительно к АС наиболее опасными действиями по отношению к защищаемой информации являются : утрата информации - неосторожные действия владельца информации , представленной в АС на различных нос ителях и в файлах , или лица , которому была доверена информация в силу его официальных (производственных ) обязанностей в рамках АС , в результате которых информация была потеряна и стала (либо могла стать ) достоянием посторонних лиц ; раскрытие информации - у мышленные или неосторожные действия , в результате которых содержание информации , представленной на различных носителях и в файлах , стало известным или доступным для посторонних лиц ; порча информации - умышленные или неосторожные действия , приводящие к полн ому или частичному уничтожению информации , представленной на различных носителях и в файлах ; кража информации - умышленные действия , направленные на несанкционированное изъятие информации из системы ее обработки как посредством кражи носителей информации , так и посредством дублирования (копирования ) информации , представленной в виде файлов АС ; подделка информации - умышленные или неосторожные действия , в результате которых нарушается целостность (точность , достоверность , полнота ) информации , находящейся на различных носителях и в файлах АС : блокирование информации - умышленные или неосторожные действия , приводящие к недоступности информации в системе ее обработки ; нарушение работы системы обработки информации - умышленные или неосторожные действия , приводящи е к частичному или полному отказу системы обработки или создающие благоприятные условия для выполнения вышеперечисленных действий. Данные события могут реализовываться в АС посредством следующих действий : незаконным физическим проникновением посторонних ли ц в помещения , в которых располагаются средства автоматизированной обработки (ЭВМ , терминалы , хранилища , архивы ); несанкционированным (незаконным ) логическим проникновением (входом ) в АС посторонних лиц под видом законного пользователя посредством подбора (кражи ) пароля или обхода механизма контроля входа в систему (при его наличии ); загрузкой посторонней операционной системы (ОС ) или программ без средств контроля доступа в ЭВМ АС ; обследованием (считыванием ) освобожденных областей оперативной и внешней пам яти , ранее содержавших конфиденциальную информацию и информацию по разграничению доступа (пароли , ключи , коды , матрицы доступа и т.п .), а также отработанных носителей АС (печатных , графических документов ); получением привилегированного статуса для взятия п олного контроля над АС посредством изменения системных таблиц ОС и регистров ; изменением установленного статуса объектов защиты АС (кодов защиты , паролей , матрицы доступа ); модификацией прикладных и системных программных средств АС с целью обхода (отключен ия ) механизма контроля доступа или выполнения несанкционированных действий в АС ; введением и использованием в АС "вредоносных " программных средств для манипулирования или блокирования работы АС ; перехватом побочных (нежелательных , но имеющих место в силу ф изических особенностей средств обработки информации ) электромагнитных , акустических к других излучений от средств автоматизированной обработки , несущих конфиденциальную информацию как через традиционный "эфир ", так и с использованием наводок таких излучен и й на вспомогательные технические средства (ВТС ), непосредственно не участвующие в обработке информации (сети питания , телефонные линии , отопления , канализации и т.п .); использованием электроакустического воздействия речи персонала АС на СВТ и ВТС для перех вата речевой информации , содержащей коммерческую тайну , по соответствующему излучению модулированных сигналов от этих средств ; перехватом информационных сигналов в линиях и каналах связи средств автоматизированной обработки посредством незаконного к ним по дключения ; включением специальных устройств в СВТ , позволяющих несанкционированно получать обрабатываемую в АС информацию , ретранслировать ее с помощью передатчиков , блокировать работу СВТ , уничтожать информацию на различных носителях и сами СВТ. С учетом перечисленных угроз защита конфиденциальной информации в АС строится в виде двух относительно самостоятельных в техническом плане частей , решающих задачи защиты информации от : несанкционированного получения , искажения , уничтожения или блокирования со сторо ны лиц , имеющих доступ к АС (защита от несанкционированного доступа - НСД ); получения ее посторонними лицами с помощью технических средств перехвата побочных электромагнитных излучений (ПЭМИН ) и наводок от СВТ , средств и систем связи (защита от ПЭМИН ). Защ ита информации в АС в общем случае обеспечивается СЗИ , представляющими собой комплекс процедурных (организационных ), программных , технических и криптографических методов и средств защиты. Основными методами защиты информации в АС являются : 1. Физическая ох рана СВТ (устройств и носителей информации ), предусматривающая наличие охраны территории и здания , где размещается АС , с помощью технических средств охраны и /или специального персонала , использование строгого пропускного режима , специальное оборудование п о мещений АС. 2. Использование СВТ в специально защищенном от ПЭМИН и НСД исполнении. 3. Идентификация и проверка подлинности (аутентификация ) пользователей и других ресурсов АС (программно-аппаратных средств ). 4. Персональный допуск пользователей к работе в АС и ее ресурсам , включая взаимодействие с другими ресурсами АС. 5. Надзор за деятельностью пользователей в АС , регистрация и учет их действий и в первую очередь - несанкционированных. 6. Проверка целостности (отсутствия вредных изменений ) ресурсов АС , вк лючая СЗИ. 7. Использование криптографических СЗИ , находящейся в оперативной и внешней памяти ЭВМ и на различных носителях , а также передаваемой по линиям связи. 8. Применение методов защиты от копирования файлов АС. 9. Периодическое и динамическое тестиро вание и контроль работоспособности СЗИ , их оперативное восстановление. 10. Проведение специальных исследований и контроль СВТ с целью исключения непредусмотренных включений и добавок. 11. Снижение (исключение ) побочных электромагнитных излучений от СВТ. 12 . Снижение (исключение ) наводок побочных электромагнитных излучений от СВТ на ВТС. 13. Снижение (исключение ) информативности сигналов побочных электромагнитных излучений и наводок с использованием систем активной защиты (генераторов шума ). Принципы защиты информации При создании программно-аппаратных СЗИ разработчики руководствуются основными принципами , установленными действующими государственными законами и нормативными документами по безопасности информации , сохранению государственной тайны и обеспечению режима секретности работ , проводимых в автоматизированных системах. Принцип обоснованности доступа. Заключается в обязательном выполнении двух основных условий для предоставления доступа исполнителю (пользователю ) к информации АС : исполнитель (пользовател ь ) должен иметь достаточную "форму допуска " для доступа к информации данного уровня конфиденциальности - грифа секретности (мандатное условие ); исполнителю (пользователю ) необходим доступ к данной информации для выполнения его производственных функций (тра диционное условие ). Эти условия рассматриваются , как правило , в рамках разрешительной системы доступа , в которой устанавливается : кто , кому , конца , какую информацию и для какого вида доступа может предоставить и при каких условиях. Поскольку понятия "польз ователь " и "информация " недостаточно формализованы в автоматизированных системах , то в целях автоматизации данных правил используются соответствующие им понятия в среде ЭВМ в виде активных программ и процессов для представления пользователей , носителей ин ф ормации различной степени укрупненности для представления самой информации в виде сетей и подсетей ЭВМ , узлов сети (ЭВМ ), внешних устройств ЭВМ (терминалов , печатающих устройств , различных накопителей , линий и каналов связи ), томов , разделов и подразделов томов , файлов , записей , полей записей , оперативной памяти ЭВМ , разделов и подразделов оперативной памяти ЭВМ , буферов в оперативной памяти ЭВМ и т.д. Тогда разрешительная система доступа предполагает определение для всех пользователей соответствующей прогр аммно-аппаратной среды или информационных и программных ресурсов (узлов сети , ЭВМ , внешних устройств ЭВМ , томов , файлов , записей , программ , процессов и т.п .), которые будут им доступны для конкретных операций (чтение , запись , модификация , удаление , выполн е ние и т.п .) с помощью заданных программно-аппаратных средств доступа (прикладных программ , утилит , процессов , пакетов прикладных программ , команд , задач , заданий , терминалов , ЭВМ , узлов сети и т.п .). Правила распределения указанной среды между пользователя ми должны быть строго определены (формализованы ) и соответствовать целям защиты информации с учетом действующих требований по обеспечению безопасности (режима секретности ) и разрешительной системы доступа . Такие правила целесообразно представлять в виде м а тематической модели , учитывающей динамику взаимодействия ресурсов в системе. Принцип достаточной глубины контроля доступа. Средства защиты информации должны включать механизмы контроля доступа ко всем видам информационных и программных ресурсов автоматизир ованной системы , которые в соответствии с принципом обоснованности доступа следует разделять между пользователями . При создании типовых средств защиты такие механизмы должны охватывать все возможные виды ресурсов , различаемые программно-аппаратными средст в ами системы , так как глубина детализации контролируемых ресурсов определяется спецификой конкретной автоматизированной системы. Принцип разграничения потоков информации. Для предупреждения нарушений безопасности информации , например при записи секретной ин формации на несекретные носители (тома , распечатки ) и в несекретные файлы , ее передаче программам и процессам , не предназначенным для обработки секретной информации , а также передачи секретной информации по незащищенным каналам и линиям связи необходимо о с уществлять соответствующее разграничение потоков информации. Для проведения такого разграничения все ресурсы , содержащие конфиденциальную информацию (сети ЭВМ , ЭВМ , внешние устройства , тома , файлы , разделы ОП и т.п .), должны иметь соответствующие метки , от ражающие уровень конфиденциальности (гриф секретности ) содержащейся в них информации. Принцип чистоты повторно используемых ресурсов. Заключается в очистке (обнулении , исключении информативности ) ресурсов , содержащих конфиденциальную информацию (разделов О П , файлов , буферов и т.п .), при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям. Принцип персональной ответственности. Заключается в том , что каждый пользователь должен нести персональную ответственность з а свою деятельность в системе , включая любые операции с конфиденциальной информацией и возможные нарушения ее защиты , т.е . какие-либо случайные или умышленные действия , которые приводят или направлены на несанкционированное ознакомление с конфиденциальной информацией , ее искажение или уничтожение , или делают такую информацию недоступной для законных пользователей . Для проведения данного принципа необходимо выполнение следующих требований : индивидуальная идентификация пользователей и инициированных ими проце ссов (выполняющихся программ , задач , заданий и т.п .), т.е . установление и закрепление за каждым пользователем и его процессом уникального идентификатора (метки ), на базе которого будет осуществляться разграничение доступа в соответствии с принципом обосно в анности доступа (правилами предоставления доступа ). В связи с этим такие идентификаторы и метки должны содержать сведения о форме допуска пользователя и его прикладной области (производственной деятельности ); проверка подлинности пользователей и их процесс ов по предъявленному идентификатору или метке (аутентификация ); регистрация (протоколирование ) работы механизмов контроля доступа к ресурсам системы с указанием даты и времени , идентификаторов запрашивающего и запрашиваемого ресурсов , вида взаимодействия и его результата , включая запрещенные попытки доступа. Принцип целостности средств защиты. В автоматизированной системе необходимо обеспечивать целостность средств защиты информации , т.е . такие средства должны точно выполнять свои функции в соответствии с п еречисленными принципами и быть изолированными от пользователей , а для своего сопровождения включать специальный защищенный интерфейс для средств контроля , сигнализации о попытках нарушения защиты информации и воздействия на процессы в системе . С этой цел ь ю построение комплекса средств защиты должно проводится в рамках отдельного монитора обращений , контролирующего любые запросы к данным или программам со стороны пользователей (или их программ ) по установленным для них видам доступа к этим данным и програм м ам . При этом "монитор обращений " контролирует взаимодействие ресурсов в программно-аппаратной среде , используя матрицу доступа в соответствии с разрешительной системой доступа . Схематично такой монитор представляется в виде , показанном на рис .1. Рис .1. Стр уктура монитора обращений При проектировании монитора должны учитываться следующие требования к механизмам контроля : они должны быть защищены от постороннего вмешательства в их работу , включая их несанкционированную модификацию и подмену ; должны всегда при сутствовать и работать надлежащим образом ; должны быть достаточно малыми по своему размеру для проведения их анализа и тестирования в целях проверки их полноты и точности. Практическое создание СЗИ , удовлетворяющих перечисленным принципам , осуществляется в рамках управляющих программ ОС ЭВМ , а также в рамках программных средств , расширяющих возможности ОС (СУБД , сетевых пакетов и пакетов телеобработки ) в случае их применения. В настоящее время создан широкий спектр ОС , включающих разнообразные СЗИ от несанк ционированного доступа . Такие защищенные ОС различаются по своему функциональному составу , надежности в обеспечении своей целостности (стойкости ) и производительности. Конкретная реализация средств защиты с учетом указанных принципов определяется составом программно-аппаратных средств конкретной автоматизированной системы , полномочиями пользователей на доступ к информации в системе , режимом обработки информации. Лекция 6. Построение систем защиты информации от НСД Вопросы : Классические модели защиты информа ции Синтез структуры системы защиты информации Проектирование систем защиты предполагает разработку модели защиты и перенесение ее на конкретную структуру программных средств , ОС , системы управления базами данных или на автоматизированную систему в целом . Модель защиты представляет собой описание , формализованное или нет , правил взаимодействия ресурсов в программно-аппаратной среде АС . Под информационно-программным ресурсом будем в дальнейшем понимать объект доступа в АС : узел сети , ЭВМ , внешние устройства ЭВМ , том , файл , запись , программу , процесс и т.п ., под пользователем - субъект доступа : прикладную программу , пакет прикладных программ (ППП ), процесс , команду , задачу , задание , терминал , ЭВМ , узел сети и т.п. Модели защиты позволяют сконцентрировать основ ное внимание на наиболее важных аспектах проблемы защиты информации , отбрасывая из рассмотрения технические детали системы . Использование теоретических или формальных моделей позволяет сравнивать различные системы на общей основе. Модели защиты информации исторически возникли из работ по . теории защиты ОС . Первая попытка использования модели защиты была предпринята при разработке защищенной ОС ADEPT-50 по заказу МО США . Эта модель состоит из множества объектов защиты : пользователи , задания , терминалы и фай л ы , которым задаются такие характеристики , как уровень конфиденциальности , категория прикладной области (из дискретного набора рубрик , описывающих прикладную область ), полномочия и режим (вид ) доступа . Поведение модели описывается следующими простыми прави л ами [1]: а ) пользователю разрешен доступ в систему , если он входит в множество известных системе пользователей ; б ) пользователю разрешается доступ к терминалу , если он входит в подмножество пользователей , закрепленных за данным терминалом : в ) пользователю разрешен доступ к файлу , если : уровень конфиденциальности пользователя не ниже уровня конфиденциальности файла : прикладная область файла включается в прикладную область задания пользователя ; режим доступа задания пользователя включает режим доступа к файлу ; - пользователь входит в подмножество допущенных к файлу пользователей. Характеристики безопасности объекта получаются на основе прав задания , а не прав пользователя , и используются в модели для управления доступом , что обеспечивает однородный контроль пр ава на доступ над неоднородным множеством программ и данных , файлов , пользователей и терминалов. В модели Хартсона в качестве основных характеристик используются множества так называемого пятимерного "пространства безопасности " [1): установленных полномочи и ; пользователей ; операции ; ресурсов ; состояний. Область безопасных состояний системы представляется в виде декартова произведения перечисленных множеств . Каждый запрос на доступ представляется подпространством четырехмерной проекции пространства безопасно сти . Запросы получают право на доступ в том случае , когда они полностью заключены в соответствующие подпространства. В модели безопасности с "полным перекрытием " [1] предусматривается по крайней мере одно средство защиты для обеспечения безопасности на каж дом возможном пути проникновения в систему или нарушения защиты охраняемых объектов . Модель имеет более простой вид за счет удаления из рассмотрения "области пользователя " и "внешних ограничений ". В модели точно определяется каждая область , требующая защи т ы , оцениваются средства обеспечения с точки зрения их эффективности и их вклад в обеспечение безопасности во всей автоматизированной системе. Одна из первых фундаментальных моделей защиты была разработана Лэмпсоном (Lampson) и затем усовершенствована Грэхе мом (Graham) и Деннингом (Denning) [2]. Основу их модели составляет правило доступа , которое определяет возможный вид доступа субъекта доступа по отношению к объекту доступа . В контексте ОС объектами доступа могут являться страницы оперативной памяти , прог раммы , устройства внешней памяти ЭВМ и файлы . Субъектами обычно являются пары вида "процесс-домен ". Процесс представляет собой активную выполняющуюся программу , а домен - окружение , в котором выполняется процесс. Примерами доменов в системе IBM System/370 являются состояния процессора , супервизора или прикладной программы . Видами доступа могут быть : выполнение , выделение (памяти ), чтение , запись . Множество всех возможных правил доступа можно представить в виде матрицы (таблицы ) доступа А , в которой столбцы Oi, 02,..., О n представляют объекты доступа , а строки S1, S2,..., Sn представляют субъекты доступа . Элемент таблицы A [Si,Oj] содержит список видов доступа t1, Т 2,..., Т k который определяет привилегии субъекта S, по отношению к объекту О j,- Данная модель п редполагает , что все попытки доступа к объектам перехватываются и проверяются специальным управляющим процессом , часто именуемым монитором . Следовательно , когда субъект S, инициирует доступ вида Т k к объекту 0j, монитор проверяет наличие Tk в элементе мат р ицы A [Si,Oj]. Так как во время выполнения программы возможна передача управления от одного процесса к другое , то правила доступа должны динамически изменяться таким образом , чтобы права доступа одного субъекта могли бы передаваться другому . Права доступа в матрице помечаются , если разрешена их передача (копирование ). Субъекту , не находящемуся в процессе отладки , можно запретить произвольно передавать свои права . Ценность такого подхода состоит в ограничении воздействия ошибок . Ошибки в этом случае не могу т бесконтрольно распространяться по всей системе . Поэтому увеличивается надежность (так как другие части системы в большинстве случаев могут продолжать свою работу безошибочно ) и упрощается отладка . В такой модели безопасность всех объектов системы рассмат р ивается единообразно . Однако при рассмотрении вопросов безопасности баз данных (БД ) такая модель описывает безопасность только части объектов системы , а именно безопасность операционных систем . Безопасность БД предполагает включение в матрицу доступа не т о лько страниц памяти , внешних устройств и файлов , но также и объектов , присущих самим системам управления БД , таких , как записи и поля записей . Поэтому модель может быть расширена для исследования всех аспектов безопасности в автоматизированной системе . Од н ако существует несколько принципиальных отличий между безопасностью операционной системы и безопасностью БД . Они заключаются в следующем : в БД большее число защищаемых объектов ; безопасность БД связана с большим числом уровней укрупненности данных , таких , как файлы , записи , поля записей и значения полей записей ; операционные системы связаны с защитой физических ресурсов , а в БД объекты могут представлять собой сложные логические структуры , определенное множество которых может отображаться на одни и те же фи зические объекты данных ; возможно существование различных требований по безопасности для разных уровней рассмотрения - внутреннего , концептуального и внешнего для БД и ОС ; безопасность БД связана с семантикой данных , а не с их физическими характеристиками. Единая модель защиты ОС и БД значительно усложняет рассмотрение вопросов безопасности . Поэтому разработаны специальные модели защиты БД . Одним из примеров моделей защиты БД является модель Фернандеза (Fernandez), Саммерса (Summers) и Колмана (Coleman) [3]. Данные модели защиты относятся к классу матричных и получили наибольшее распространение вследствие того , что они служат не только для целей анализа логического функционирования системы , но и успешно поддаются реализации в конкретных программных системах. Так как программы выступают в правилах доступа в качестве субъектов , то они могут при необходимости расширять права конкретных пользователей . Например , программа может иметь права на сортировку файла , чтение которого пользователю запрещено , б модели Харт с она (Hartson) и Сяо (Hsiao) [1] каждое правило может иметь расширение , которое определяет права программ . В других случаях может потребоваться сужение прав пользователей правами используемых ими программ . В то же время программы могут выступать в качестве объектов доступа , типичными операциями для которых являются исполнение (Execute) и использование (Use). Другим видом моделей являются многоуровневые модели . Они отличаются от матричных моделей по нескольким аспектам . Во-первых , они рассматривают управление доступом не в рамках задаваемых неким администратором прав пользователям , а в рамках представления всей системы таким образом , чтобы данные одной категории или области не были доступны пользователям другой категории . Первый вид управления получил названи е дискреционного (discretionary) контроля доступа , а второй - недискреционного (nondiscretionary), хотя возможны и сочетания видов управления доступом . Например , администратор может установить дискреционные правила доступа для персонала внутри подразделени я и недискреционные правила доступа для исключения доступа к данным подразделения со стороны сотрудников из другого подразделения . Ценность недискреционных моделей управления доступом состоит в возможности проведения формального заключения об их безопаснос т и , в то время как для дискреционных моделей в общем случае теоретически невозможно установить , являются ли они безопасными (основная теорема Харрисона ) [1]. Во-вторых , многоуровневые модели рассматривают не только сам факт доступа к информации , но также и потоки информации внутри системы . Подобно дискреционным (матричным ) моделям , многоуровневые модели также были разработаны для рассмотрения аспектов безопасности операционных систем и в дальнейшем были распространены на безопасность БД. Наибольшее распростр анение получила многоуровневая модель защиты , разработанная Бэллом и Ла Падулом (Bell, La Padula) в фирме Mitre Corp. [4,5]. В этой модели вводятся понятия уровня и категории . Каждому субъекту приписывается уровень допуска (форма допуска ), а каждому объек т у - уровень конфиденциальности (гриф секретности ). В военной области известны такие уровни под грифами "сов . секретно ", "секретно ", "конфиденциально " (для служебного пользования ) и "несекретно ". Субъект обычно представляет процесс , выполняющийся по запрос у пользователя и имеющий тот же уровень допуска , что и пользователь . Объектами могут быть области памяти , переменные программ , файлы , устройства ввода-вывода , пользователи и другие элементы системы , содержащие информацию . Каждому субъекту и объекту приписы в ается также множество категорий в виде прикладных областей , например "Ядерное вооружение " или "НАТО ". Тогда уровень безопасности представляется в виде сочетания : уровень конфиденциальности , множество категорий. Один уровень безопасности доминирует над друг им тогда и только тогда , когда его уровень конфиденциальности или уровень допуска больше или равен второму , и его множество категорий включает соответствующее множество второго . Уровни допуска и конфиденциальности являются упорядоченными , в то время как у р овни безопасности упорядочены частично , так что некоторые субъекты и объекты могут быть несравнимы . Например , на рис .2 уровень безопасности LI доминирует над уровнем L3, так как его уровень классификации выше и его множество категорий включает множество к а тегорий уровня L3. С другой стороны , уровни безопасности LI и L2 являются несравнимыми. Рис .2. Взаимодействие уровней безопасности Доступ к объекту может рассматриваться либо как чтение (получение из него информации ), либо как изменение (запись в него инфо рмации ). Тогда виды доступа определяются любыми возможными сочетаниями таких операций , т.е .: ни чтение , ни изменение ; только чтение ; только изменение ; чтение и изменение. Модель рассматривает состояния системы безопасности , которые определ яются : текущим множеством доступов , представляемых в виде триад (субъект , объект , вид доступа ); матрицей доступа ; уровнем безопасности каждого объекта ; максимальным и текущим уровнями безопасности каждого субъекта. Любой запрос вызывает изменение состояния системы . Запросы могут быть : на доступ к объектам , на изменение уровня безопасности или матрицы доступа , на создание или удаление объектов . Реакция системы на запросы называется решением . При данном запросе и текущем состоянии решение и новое состояние о п ределяются правилами . (Здесь правила рассматриваются не как правила доступа в дискретной модели , а как правила оценки ) Эти правила поведения системы предписывают , как будет обрабатываться каждый вид запроса . Доказательство безопасности системы включает до к азательство того , что каждое правило выполняется безопасным образом . Тогда , если состояние системы безопасно , то любой новый запрос вызывает переход системы в новое безопасное состояние. Безопасное состояние определяется двумя свойствами : простым условием безопасности и условием безопасности (*) (звездочка ), которое называют также ограничительным . Простое условие безопасности заключается в том , что для каждого текущего доступа (субъект , объект , вид доступа ), связанного с чтением объекта , уровень безопаснос т и субъекта должен доминировать над уровнем безопасности объекта . Иначе такое условие можно сформулировать как "запрет чтения из более высоких уровней ". Простое условие не исключает рассмотрение безопасности при сочетании безопасных доступов. Для случая , ко гда субъект-нарушитель может прочитать информацию из "сов . секретного " объекта и записал " его в "конфиденциальный " объект , предусматривается условие - (*). Оно предотвращает потоки информации из объектов более высокого уровня в объекты низкого уровня . Это условие определяется следующим образом : если запрос на чтение , то уровень субъекта должен доминировать над уровнем объекта ; если запрос на изменение , то уровень объекта должен доминировать над текущим уровнем субъекта ; если запрос на чтение-запись , то уров ень объекта должен быть равен текущему уровню субъекта. Простое условие безопасности и условие - * представляют модель безопасности , в которой доступ рассматривается по отношению к уровням субъекта и объекта . В дискретной же модели безопасность обеспечивае тся , если каждый текущий доступ разрешен в рамках текущей матрицы доступа. Деннинг рассмотрел потоки информации в многоуровневой модели в более общем виде . Понятия уровней конфиденциальности и категорий он соединил в одно понятие классов безопасности и вве л переменную "оператор соединения классов " вместо ранее введенной постоянной. Модель потоков информации , описывающая конкретную систему , определяется пятью компонентами : множеством объектов , множеством процессов , множеством классов безопасности , оператором соединения классов и потоковым отношением . Оператор соединения классов определяет класс результата любой операции . Например , если мы соединим два объекта а и b классов А и В соответственно , то класс результата представляется как А +В . Потоковое отношение м ежду двумя классами , например в направлении от А к В означает , что информация класса А может быть записана (передана ) в класс В . Потоковая модель является безопасной , если потоковое отношение не может быть нарушено. Подводя итог рассмотрению двух классов м оделей : матричных и потоковых , отметим , что преимущество матричных моделей состоит в легкости представления широкого спектра правил безопасности информации . Например , правила доступа , зависящие от вида доступа (операции ) и объекта доступа (файла ), достато ч но просто представляются в рамках матричных моделей . Основной недостаток матричных моделей состоит в отсутствии контроля за потоками информации . Основным недостатком моделей управления потоками информации является невозможность управления доступом к конкр е тным объектам на индивидуальной основе субъектов . Следовательно , оба подхода включают различные компромиссы между эффективностью , гибкостью и безопасностью . Очевидно , что оптимальные решения вопросов безопасности могут вырабатываться при применении обоих в идов моделей защиты. Синтез структуры системы защиты информации Выбор структуры СЗИ и методов защиты осуществляется в процессе создания АС на основании предварительного аналитического и технического обследования объекта автоматизации с учетом государственн ых нормативных и руководящих документов по зайдите информации от ПЭМИН и НСД. При обработке или хранении в АС информации в рамках СЗИ рекомендуется реализация следующих организационных мероприятий : выявление конфиденциальной информации и ее документальное оформление в вице перечня сведений , подлежащих защите ; определение порядка установления уровня полномочий субъекта доступа , а также круга лиц , которым это право предоставлено ; установление и оформление правил разграничения доступа , т.е . совокупности правил , регламентирующих права доступа субъектов к объектам ; ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий , а также с организационно-распорядительной и рабочей документацией , определяющей требования и порядок обработки кон фиденциальной информации ; получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации ; обеспечение охраны объекта , на котором расположена защищаемая АС (территория , здания , помещения , хранилища информационных носителей ), путем установления соответствующих постов , технических средств охраны или любыми другими способами , предотвращающими или существенно затрудняющими хищение средств вычислительной техники (СВТ ), информационных носителей , а также НСД к СВТ и линиям связи А С ; организация службы безопасности информации (ответственные лица , администратор АС ), осуществляющей учет , хранение и выдачу информационных носителей , паролей , ключей , ведение служебной информации СЗИ НСД (генерацию паролей , ключей , сопровождение правил ра зграничения доступа ), приемку включаемых в АС новых программных средств , а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д .; разработка или модификация СЗИ , включая соответствующую организационно-распорядительн ую и эксплуатационную документацию : осуществление приемки СЗИ в составе АС и ее аттестация. Создание СЗИ рекомендуется проводить поэтапно. 1. Проведение аналитического обследования АС . Осуществляется с целью оценки возможной уязвимости обрабатываемой в ней конфиденциальной информации и выработки необходимых требований по ее защите. 2. Проектирование СЗИ . В процессе проектирования СЗИ на основании установленных требований по защите информации от НСД и ПЭМИН с учетом условий работы АС и заданных собственником (владельцем ) информации ограничений на финансовые , материальные , трудовые и другие ресурсы осуществляется выбор или /и разработка конкретных методов и средств защиты . Результатом данного этапа является законченный комплекс сертифицированных средств и мето д ов защиты информации , имеющий соответствующую необходимую проектную и эксплуатационную документацию. 3. Приемка СЗИ в эксплуатацию . На данном этапе осуществляется внедрение (установка ) средств и методов СЗИ в АС , их комплексная проверка и тестирование , нео бходимое обучение и освоение персоналом АС СЗИ . Устраняются выявленные в процессе проверки и тестирования недостатки СЗИ . Результатом этого этапа является общая аттестация СЗИ АС. 4. Эксплуатация СЗИ АС . В процессе эксплуатации АС проводится регулярный кон троль эффективности СЗИ , при необходимости осуществляется доработка СЗИ в условиях изменения состава программно-аппаратных средств , оперативной обстановки и окружения АС . Контролируются и анализируются все изменения состава АС и СЗИ перед их реализацией . О тклоняются все модификации АС , снижающие установленную эффективность защиты информации . Периодически проводится контроль СЗИ АС на соответствие нормативно-техническим требованиям и в целях проверки работоспособности средств защиты. При проектировании систе м защиты информации от несанкционированного доступа в автоматизированных системах наибольшее затруднение у разработчиков вызывает необходимый функциональный состав СЗИ , определяющий трудоемкость разработки и затраты на защиту при достаточном уровне защище н ности АС. Одним из возможных методов ориентации разработчиков на создание необходимых средств защиты являются классификация АС в зависимости от определяющих с точки зрения безопасности параметров режима их функционирования . При этом для каждого класса АС у станавливается обязательный функциональный состав средств , который определяет достаточный уровень защиты информации . К параметрам , определяющим класс АС , относятся : наличие в АС информации различного грифа секретности ; уровень полномочии пользователей АС н а доступ к секретной информации ; режим обработки данных в АС : коллективный или индивидуальным. В нормативном документе [6] устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупност ью требований по защите . Классы подразделяются на три группы , отличающиеся особенностями обработки информации в АС . В пределах каждой группы соблюдается иерархия требований по защите и , следовательно , иерархия классов защищенности АС. Третья группа классиф ицирует АС , в которых работает один пользователь , допущенный ко всей информации АС , размещенной на носителях одного уровня конфиденциальности , и содержит два класса - ЗБ и ЗА. Вторая группа классифицирует АС , в которых пользователи имеют одинаковые права д оступа (полномочия ) ко всей информации АС , обрабатываемой и (или ) хранимой на носителях различного уровня конфиденциальности , и содержит два класса - 2Б и 2А. Первая группа классифицирует многопользовательские АС , в которых одновременно обрабатывается и (и ли ) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС , и содержит пять классов - 1Д , 1Г , 1В , 1Б и 1А. В зависимости от класса АС в рамках этих подсистем должны быть реализованы требования в соответствии с таблицами 1, 2 (см . приложение ). Организационные мероприятия в рамках СЗИ НСД в АС , обрабатывающих или хранящих информацию , являющуюся собственностью государства и отнесенную к категории секретной , должны отвечая государственным требования м по обеспечению режима секретности проводимых работ. При обработке или хранении в АС информации , не отнесенной к категории секретной , в рамках СЗИ НСД государственным , коллективным , частным и совместным предприятиям , а также частным лицам рекомендуются ан алогичные организационные мероприятия . Отличие заключается только в последнем мероприятии : осуществлении приемки СЗИ НСД в составе АС. При разработке АС , предназначенной для обработки или хранения информации , являющейся собственностью государства и отнесен ной к категории секретной , необходимо ориентироваться на классы защищенности АС не ниже (по группам ) ЗА , 2А , 1А , 1Б , 1С и использовать сертифицированные СВТ в соответствии с нормативным документом [6]: не ниже 4-го класса для класса защищенности АС 1В ; не ниже 3-го класса для класса защищенности АС 1 Б ; не ниже 2-го класса для класса защищенности АС 1 А . Практическое создание СЗИ , удовлетворяющих перечисленным требованиям , осуществляется в рамках аппаратных средств и управляющих программ ОС ЭВМ (ПЭВМ ), а т а кже в рамках программных средств , расширяющих возможности ОС (СУБД , сетевых пакетов и пакетов телеобработки ) в случае их применения. 3. Обобщенная структура системы защиты информации Защита информации от НСД является составной частью обшей проблемы обеспеч ения безопасности информации . Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники от ПЭМИН. Комплекс программно-аппаратных средств и орг анизационных (процедурных ) решении по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД ), состоящей из четырех подсистем : управления доступом ; регистрации и учета ; криптографической ; обеспечения целостности. Подсистема управления доступом включает средства идентификации , проверки подлинности (аутентификации ) и контроль доступа пользователей и их программ (процессов ) к ресурсам : системе ; терминалам ; ЭВМ (ПЭВМ ),) типам сети ЭВМ (ПЭВМ ); каналам связи ; внешним устройствам Э ВМ (ПЭВМ ); программам ; томам , каталогам , файлам , записям , полям записей. Элементы идентификации , проверки подлинности и контроля доступа к ресурсам реализуются при их наличии в АС и в случае отсутствия полномочий на доступ к ним у некоторых пользователей . Контроль доступа субъектов к защищаемым ресурсам осуществляется в соответствии с матрицей доступа. Помимо средств контроля доступа данная подсистема при наличии нескольких уровней конфиденциальности информации должна включать средства управления потоками и нформации , т.е . контроля передачи информации между строго установленными ресурсами (носителями ) с учетом наличия разрешения на такой вид обмена . Управление потоками информации осуществляется с помощью меток конфиденциальности . При записи информации на как о й-либо носитель необходимо , чтобы уровень конфиденциальности защищаемо объектов (носителей ) был не ниже уровня конфиденциальности записываемой на них информации. Подсистема регистрации и учета включает средства регистрации и учета событий и /или ресурсов с указанием времени и инициатора : входа /выхода пользователей в /из системы (узла сети ); выдачи печатных (графических ) выходных документов ; запуска /завершения программ и процессов (заданий , задач ), использующих защищаемые файлы ; доступа программ пользователей к защищаемым файлам , включая их создание и удаление , передачу по линиям и каналам связи ; доступа программ пользователей к терминалам , ЭВМ , узлам сети ЭВМ , каналам и линиям связи , внешним устройствам ЭВМ , программам , томам , каталогам ; изменения полномочий с убъектов доступа ; создаваемых объектов доступа ; учет носителей информации. Регистрация проводится с помощью средств автоматического ведения журнала (системного ) и выдачи из него протоколов работы пользователей по выбранным регистрируемым параметрам. Кроме этого , данная подсистема включает средства очистки (обнуления , обезличивания ) областей оперативной памяти ЭВМ и внешних накопителей , использованных для обработки и /или хранения защищаемой информации. Криптографическая подсистема предусматривает шифрование конфиденциальной информации , записываемой на совместно используемые различными субъектами доступа (разделяемые ) носители данных , а также на съемные носители данных (ленты , диски , дискеты , микрокассеты и т.п .) долговременной внешней памяти для хранения за п ределами сеансов работы санкционированных субъектов доступа , а также информации , передаваемой по линиям связи . Доступ к операциям шифрования и /или криптографическим ключам контролируется посредством подсистемы управления доступом. Криптографическая подсист ема реализуется в виде : программно-аппаратных или программных средств , разрабатываемых (используемых ) на основе "Алгоритма криптографического преобразования " (ГОСТ 28147-89), криптосхемы , реализующей данный алгоритм , или других аттестованных средств , предн азначенных для шифрования /дешифрования с целью снятия грифа секретности информации , записываемой на внешних запоминающих устройствах ЭВМ (накопителях ) или передаваемой по линиям связи ; других криптографических средств для шифрования /дешифрования информации , включая служебную информацию СЗИ НСД (ключи , пароли , таблицы санкционирования и т.п .). Уровень реализации функций СЗИ от НСД должен обеспечивать ее целостность для всех режимов работы АС в соответствии с принципом целостности средств защиты. Подсистема о беспечения целостности СЗИ НСД является обязательной для любой СЗИ и включает организационные , программно-аппаратные и другие средства и методы , обеспечивающие : физическую охрану СВТ (устройств и носителей информации ), территории и здания , где размещается АС , с помощью технических средств охраны и специального персонала , строгий пропускной режим , специальное оборудование помещений АС ; недоступность средств управления доступом , учета и контроля со стороны пользователей с целью их модификации , блокирования ил и отключения ; контроль целостности программных средств АС и СЗИ на предмет их несанкционированного изменения ; периодическое и /или динамическое тестирование функций СЗИ НСД с помощью специальных программных средств ; наличие администратора (службы ) защиты ин формации , ответственного за ведение , нормальное функционирование и контроль работы СЗИ НСД ; восстановление СЗИ НСД при отказе и сбое ; применение сертифицированных (аттестованных ) средств и методов зашиты , сертификация которых проводится специальными сертиф икационными и испытательными центрами. 4. Методы идентификации и аутентификации Для осуществления одного из основных принципов защиты информации - принципа персональной ответственности , помимо законодательных , этических и моральных норм необходимы соответс твующие административные (процедурные ) мероприятия и технические средства . Такие мероприятия должны быть направлены в первую очередь на идентификацию и аутентификацию пользователей автоматизированной системы. Идентификация пользователей заключается в устан овлении и закреплении за каждым пользователем автоматизированной системы уникального идентификатора в виде номера , шифра , кода и т.п . Это связано с тем , что традиционный идентификатор вида фамилия-имя-отчество не всегда приемлем для применения в системе . Т ак , в США широко применяются в различных автоматизированных системах персональный идентификационный номер (PIN - Personal Identification Number), социальный безопасный номер (SSN - Social Security Number), личный номер , код безопасности и т.д . [8]. Такие и дентификаторы используются при построении различных систем разграничения доступа и защиты информации . Идентификаторы пользователя являются аналогом подписи или факсимильной печати традиционных документальных систем. Аутентификация заключается в проверке подлинности пользователей по предъявленному идентификатору , например при входе в систему . Такая проверка должна исключать фальсификацию пользователей в системе и их компрометац ию . Без проверки подлинности теряется смысл в самой идентификации пользователей и применения средств разграничения доступа и защиты информации , построенных на базе личных идентификаторов . Отсутствие надежных средств проверки подлинности пользователей може т существенно затруднить определение персональной ответственности за осуществленные нарушения безопасности системы. Проверка подлинности (аутентификация ) может проводится различными методами и средствами . В общем случае такие методы основываются на том , что конкретный пользователь в отличие от других знает код , пароль , имеет ключ , жетон , карту . Проверка подлинности может также осуществляться с помощью биометрических характеристик отпечатков пальцев , формы кисти руки , сетчатки глаза , голоса и т.п. Для аутенти фикации пользователей применяется широкий спектр устройств , которые по принципу своей работы разделяются по видам идентификации : по магнитным картам ; по отпечаткам пальцев ; по геометрии кисти руки ; по сетчатке глаза ; по подписи ; по голосу. Наибольшее распр остранение получили устройства идентификации по индивидуальным магнитным картам [9]. Популярность таких устройств объясняется универсальное-то их применения (не только в автоматизированных системах ), относительно низкой стоимостью и высокой точностью . Таки е устройства легко комплексируются с терминалом и ПЭВМ . Поскольку считыватели этих устройств идентифицируют не личность , а магнитную карту , то они компонуются специальной , часто цифровой клавиатурой для ввода владельцем карты своего шифра , пароля . Для защ и ты карт от несанкционированного считывания и подделки применяются специальные физические и криптографические методы. Основными характеристиками устройств аутентификации являются : частота ошибочного отрицания законного пользователя ; частота ошибочного призн ания постороннего ; среднее время наработки на отказ ; число обслуживаемых пользователей ; стоимость ; объем циркулирующей информации между считывающим устройством и блоком сравнения ; приемлемость со стороны пользователей. Исследования и испытания биометрическ их устройств аутентификации показали , что частота ошибочного отрицания несколько превышает частоту ошибочного признания и составляет от сотых до тысячных долей процента и менее. Так , отечественное устройство аутентификации по подписи имеет частоту ошибочно го отрицания , приблизительно равную частоте ошибочного признания , и составляет около 0,005. Исследования устройств аутентификации по голосу , проведенные фирмой Bell, показали , что распознавание речи можно осуществлять с частотой ошибочного отрицания и ошиб очного признания равными 0,012. В связи с этим был сделан вывод о нецелесообразности применения таких устройств. Основным выводом , полученным из опыта создания устройств аутентификации , является то , что получение высокой точности аутентификации возможно то лько при сочетании различных методов . Дополнительный ввод с клавиатуры обеспечивает приемлемую вероятность правильной аутентификации. Программные средства аутентификации , применяемые в большинстве ОС , СУБД , мониторов телеобработки , сетевых пакетов , основан ы на использовании парольной системы доступа . Однако многие из них достаточно легко вскрываются или обходятся . Например , в ОС RSX-11M в стандартной конфигурации отсутствуют средства шифрации паролей в файле счетов пользователей . В процессе загрузки этой О С можно легко просмотреть пароли всех пользователей , включая привилегированный пароль системного пользователя . Более безопасные системы осуществляют хранение списков паролей пользователей в зашифрованном виде на основе необратимых преобразований . В то же в р емя перехват даже зашифрованного пароля , например в сети типа DECnet, позволяет при его использовании получить несанкционированный доступ к удаленной ЭВМ . Теоретические аспекты парольных систем достаточно хорошо проработаны и позволяют оценить необходимую длину пароля , исходя из технических характеристик конкретной автоматизированной системы . Различные модификации парольных систем (выборка символов , пароли однократного использования , метод "запрос-ответ ") могут значительно повысить безопасность системы. Не меньшее значение имеет для пользователя также аутентификация системы , с которой он взаимодействует . Это особенно актуально в сети ЭВМ , когда пользователь хочет взаимодействовать только с данной ЭВМ сети и поэтому желает убедиться в ее подлинности . Использ о вание подставной ЭВМ , ОС или программы является одним из путей несанкционированного получения паролей законных пользователей или сообщений . Одним из методов уменьшения такой угрозы является применение процедур "запрос-ответ " и их разновидностей , а также к р иптографических средств [10]. Такая взаимная аутентификация имеет важное значение и для взаимодействующих программ и процессов , особенно в среде сети ЭВМ , локальных вычислительных сетей . Необходимость взаимной аутентификации сетевых процессов подтверждена международным стандартом по взаимодействию открыло систем. Одним из распространенных методов установления подлинности программных средств и файлов является также использование контрольного суммирования . Алгоритмы подсчета контрольных сумм варьируются по св оей надежности в больших пределах . Наиболее безопасными являются сертифицированные криптографические алгоритмы подсчета контрольных сумм , результаты которых практически не поддаются подделке . Их примером является режим имитовставки стандартного алгоритма к риптографического преобразования ГОСТ 28147-89. Однако такие алгоритмы вносят немалые издержки. Большое распространение для аутентификации аппаратурных средств вычислительной техники (ЭВМ , терминалов , внешних устройств ) получили специальные аппаратные блок и-приставки . Такие блоки , будучи подключенными к аппаратуре , могут генерировать особые уникальные последовательности сигналов , подтверждая подлинность соответствующих устройств [17, 19]. Такой метод используется также для защиты программных комплексов от н есанкционированного копирования . В этом случае защищаемые программные средства периодически опрашивают такие блоки и при их отсутствии блокируют работу всей системы [11]. Современным средством аутентификации является цифровая подпись (ЦП ). В основе ЦП лежа т криптографические преобразования информации . Получаемые цифровые сигнатуры обладают высоким уровнем защиты от подделки . Криптографическое преобразование может быть применено как к документу в целом , так и только к удостоверяющим реквизитам . Соответствен н о ЦП подтверждает либо подлинность документа в целом (одновременно контролируется целостность документа ), либо удостоверяющих реквизитов . Более подробно о ЦП см . в [34]. Необходимо отметить , что все методы аутентификации в случае неподтверждения подлинност и , должны осуществлять временную задержку перед обслуживанием следующего запроса на аутентификацию . Такое условие необходимо для снижения угрозы подбора паролей в автоматическом режиме . Неуспешные попытки подтверждения подлинности целесообразно регистриро в ать в системном журнале и /или сигнализировать на терминал или АРМ администратора системы , что связано с надзором (контролем ) за безопасностью системы. 5. Методы контроля доступа В практике работы на ЭВМ контроль доступа заключается в реализации того или ин ого вида матрицы доступа . Схемы разграничения доступа удобно разделить на две группы : - "списковые " схемы , в которых защитные механизмы встраиваются в каждый объект и осуществляют контроль в соответствии со списками доступа данного объекта ; - "мандатные " с хемы , в которых защитный механизм объекта реагирует на некоторый мандат , и субъект должен иметь набор мандатов для доступа ко всем Необходимым ему объектам , т.е . схема основана на домене субъекта. При разделении функций адресации и защиты удобно разбить па мять на области или сегменты , каждый из которых снабжен своим идентификатором и имеет непересекающийся с другими сегментами диапазон адресов . Реализация механизма защиты памяти на той или иной ЭВМ существенно влияет на построение схемы контроля доступа. На пример , в ЭВМ фирмы Burroughs, системе Multics фирмы Honey well, "Минск -32", ПЭВМ с процессорами , обеспечивающими защиту памяти , адресные дескрипторы в равной степени принадлежат всем пользователям и не содержат атрибутов доступа - они состоят только из б а зы и границ памяти . Данный механизм наиболее пригоден для реализации мандатной схемы контроля доступа . Мандатом здесь может являться находящееся в памяти значение дескриптора защиты. В то же время на ЭВМ типа IВМ Р 4 в процессоре содержатся регистры для дес крипторов защиты , в состав которых включены атрибуты доступа . Доступ к этим регистрам возможен только привилегированными командами процессора . Данный механизм наиболее подходит для реализации схемы контроля доступа со списками доступа . Причем списки могут быть как "индивидуальными ", так и "групповыми " для сокращения объемов матриц доступа , если это возможно. Обычно необходимость контроля доступа возникает при разделении пользования каким-либо ресурсом многими субъектами . При этом разнообразие предлагаемых с хем и механизмов контроля доступа к информации в программной реализации весьма велико . Рассмотрим только некоторые из них. 1. Системы без схем защиты . В некоторых системах полностью отсутствуют механизмы , препятствующие определенному пользователю получить доступ к информации , хранимой в системе . Хотя на современном этапе развития СЗИ эти системы уже не представляют интереса , о них следует упомянуть потому , что до сих пор некоторые из них широко использовались и используются . Это , например , DOS для IBM 360/ 3 70, MS и PC DOS для ПЭВМ. 2. Системы , построенные по принципу "виртуальной машины ". В таких системах обеспечивается взаимная изоляция пользователей , за исключением только некоторого количества общей информации . Система из числа доступных ей ресурсов выделя ет некоторые в полное распоряжение пользователя , который может считать , что имеет в своем распоряжении собственную ЭВМ . Здесь разграничение доступа реализовано путем полного изолирования пользователей друг от друга . Данная схема в чистом виде делает затру д нительным взаимодействие пользователей , поэтому иногда здесь приходится вводить помимо изолирования элементы разграничения доступа , например парольный доступ к некоторым ресурсам совместного использования . К числу подобных систем относятся , VM/370 для IBM, СВМ для ЕС ЭВМ и некоторые другие. 3. Системы с единой схемой контроля доступа . Для обеспечения прямого контроля доступа к отдельным ресурсам в системе необходимы более сложные схемы , чем до сих пор рассматривались . В таких системах с каждым информационны м элементом может быть связан "список авторизованных пользователей ", причем владелец элемента может различным пользователям предписать различные режимы его использования - для чтения , для записи или для выполнения . Среди функционально полных систем такого рода можно отметить систему ADEPT-50. 4. Системы с программируемыми схемами разграничения доступа . Часто необходимость разграничения доступа может определяться смысловым содержанием информационного элемента или контекстом , в котором этот элемент использует ся . Сложность в прямой реализации подобных механизмов разграничения приводит к механизму разграничения , основанному на понятии "доверенной " программной среды . При этом выделяются защищенные объекты и защищенные подсистемы . Защищенная подсистема представля е т собой совокупность программ и данных , обладающих тем свойством , что правом доступа к данным (т.е . защищенным объектам ) наделены только входящие в подсистему программы . В итоге программы подсистемы полностью контролируют доступ к данным и могут реализова т ь любой необходимый алгоритм их обработки и разграничения доступа . Пользователь же имеет возможность получения только опосредованного доступа к данным , только через программы защищенной подсистемы , доступ к которым может быть предоставлен уже традиционным и способами . Здесь из общеизвестных можно привести системы Multics и UNIX. 5. Системы динамического распределения прав . Большинство из представленных выше схем разграничения основаны на статической модели разграничения доступа , когда каждый из имеющихся объ ектов уже внесен в матрицу разграничения доступа перед началом обработки . Проблемы возникают в момент порождения новых объектов : где , на каких носителях их можно размещать , какие права давать пользователям на доступ к этим объектам и т.д . В вычислительных системах реализация подобных схем носит фрагментарный характер вследствие своей сложности . Например , в системе ADEPT-50 прослеживается уровень секретности всех документов , помещаемых в файл , и при выдаче содержимого из файла автоматически присваивается ма к симальный уровень секретности из числа использованных. Лекция 7. Организация работ по защите информации , обрабатываемой техническими средствами Вопросы : Организационно-технические мероприятия по защите информации. Вопросы проектирования , внедрения и эксплу атации АС и их систем зашиты информации. 1 Организационно-технические мероприятия по защите информации Организация работ по защите информации , составляющей государственную и служебную тайну , при ее обработке техническими средствами определяется в целом "По ложением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от се утечки по техническим каналам ". Мероприятия по защите информации , обрабатываемой техническими средствами , осуществляются во взаимосвязи с другими мерами по обеспечению установленного законами Российской Федерации "Об информации , информатизации и защите информации " и "О государственной тайне " комплекса мер по защите сведений , составляющих государственную и служебную *) тайну. В то же время эти мероприятия являются составной частью работ по созданию и эксплуатации систем информатизации учреждений и предприятий , располагающих такой информацией , и должны проводиться в установленном нормативными документами порядке в виде системы защиты секретн о й информации (СЗСИ ). Право на проведение работ со сведениями , составляющими государственную тайну , на разработку СЗИ и осуществление мероприятий по защите тайны предоставляется учреждениям и предприятиям в соответствии с "Положением о лицензировании деятел ьности предприятий , учреждений и организаций по проведению работ , связанных с использованием сведений , составляющих государственную тайну , созданием средств защиты информации , оказанием услуг по защите государственной тайны " [19], а при оказании услуг в о б ласти защиты информации - и с "Положением о государственном лицензировании деятельности в области защиты информации " [20] по видам деятельности , являющимся компетенцией Гостехкомиссии России и ФАПСИ. В соответствии с требованиями указанных документов право на обработку информации , составляющей государственную тайну , техническими средствами предоставляется только предприятиям , получившим лицензию на право проведения работ со сведениями соответствующей степени секретности , а на оказание услуг сторонним учреж д ениям и предприятиям - предприятиям , имеющим лицензию Гостехкомиссии России или ФАПСИ на право осуществления соответствующих видов деятельности в области защиты информации . Перечень таких предприятий с указанием конкретных видов деятельности публикуется Г о стехкомиссией России и ФАПСИ. Защита информации осуществляется путем выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам , за счет несанкционированного доступа к ней , предупреждения преднамеренных программно-техническ их воздействий с целью уничтожения или искажения информации в процессе ее обработки , передачи и хранения. *) Вопросы обращения со служебной информацией , в т . ч . машинными носителями информации , определяются "Положением о порядке обращения со служебной инфо рмацией ограниченного распространения в федеральных органах исполнительной власти ", утвержденным постановлением Правительства Российской Федерации от 03.11 94 № 1233. Основными организационно-техническими мероприятиями по защите информации являются : лиценз ирование деятельности предприятий в области защиты информации ; разработка средств защиты информации и контроля за ее эффективностью и их использование ; сертификация средств защиты информации и контроля за ее эффективностью ; создание и применение автоматизи рованных информационных систем в защищенном исполнении ; аттестация объектов и систем информатизации на соответствие требованиям безопасности информации при проведении работ со сведениями соответствующей степени секретности. Конкретные средства и меры защит ы информации разрабатываются и применяются в зависимости от уровня секретности и ценности информации и от степени возможного ущерба в случае ее утечки , уничтожения , модификации. Прежде чем перейти к вопросам непосредственной организации в учреждении , на пр едприятии работ по защите информации , обрабатываемой техническими средствами , проектирования , внедрения и эксплуатации систем информатизации , остановимся более подробно на проблеме обеспечения качества разрабатываемой , выпускаемой серийно и используемой п о требителями защищенной техники и средств защиты информации , защищенных систем информатизации , а также оказываемых в области защиты информации услуг , имеющей ключевое значение в процессе информатизации и особенно защиты информации. Проблему обеспечения каче ства продукции и услуг в области защиты информации можно условно разделить на три направления , взаимодополняющих друг друга : лицензирование деятельности по оказанию услуг в области защиты информации ; сертификация средств и систем вычислительной техники и с вязи , СЗИ по требованиям безопасности информации ; аттестация объектов информатики по требованиям безопасности информации. Каждое из этих направлении преследует свои цели , имеет свои отличительные особенности , занимает свою "нишу " в общей проблеме обеспечен ия качества продукции и услуг в области защиты информации . Они призваны стимулировать разработку на современном уровне и внедрение качественных средств и систем и защитить потребителя продукции и услуг от недобросовестной работы исполнителя (продавца ). Пер востепенное значение в решении этой проблемы имеют требования по защите информации , изложенные в виде стандартов , иных нормативных и методических документов , которым должны отвечать эти средства и системы. Для воплощения законодательных положений в жизнь н еобходим механизм их реализации в виде организационной структуры систем лицензирования деятельности в области защиты информации , сертификации продукции и аттестации объектов информатики по требованиям безопасности информации , возглавляемой органами госуда р ственного управления в пределах компетенции , определенной законодательством Российской Федерации , выполняющими организационную и координирующую деятельность в этом направлении , необходимы подзаконные нормативные акты , определяющие порядок создания и функц и онирования этих систем , стандарты и иные нормативные документы по безопасности информации , на соответствие требованиям которых проверяются средства и системы информатизации и услуги в этой области. Необходимо также взаимодействие и объединение этих систем в рамках единой системы защиты информации , поддержанной в организационно-правовом , техническом и финансовом отношении на государственном уровне. Основными нормативными актами системы , работающей под управлением Гостехкомиссии России , являются "Положение об обязательной сертификации продукции по требованиям безопасности информации " [22] и "Положение по аттестации объектов информатики по требованиям безопасности информации " 123]. Уместно заметить , что в соответствии с первым из них предложена обязательная сер тификация , которой подлежат технические средства , в том числе иностранных ) производства , предназначенные для обработки (передачи ) информации , составляющей государственную тайну , для использования в управлении экологически опасными объектами , а также средс т ва защиты и контроля защищенности такой информации . Об этом же говорится в ст .27 "Положения о государственной системе защиты информации ...". Затраты на проведение обязательной сертификации продукции относятся на ее себестоимость и оплачиваются заявителями. Несколько отличны требования по защите информации от НСД в АС. Их отличие порождено тем , что СВТ разрабатываются и поставляются на рынок как элементы , из которых в дальнейшем проектируется АС , поэтому , не решая прикладных задач , СВТ не содержат пользовате льской информации , которая собственно и подлежит защите . Следовательно , защищенность СВТ представляет собой потенциальную защищенность , т.е . свойство предотвращать или существенно затруднять НСД к информации , обрабатываемой в АС , построенной с использован и ем защищенных СВТ. Но если защита СВТ обеспечивается только комплексом программно-технических средств , то защита АС обеспечивается как комплексом программно-технических средств , так и поддерживающих их организационных мер . Указанные отличия обусловили созд ание самостоятельных технических требований по защите информации , обрабатываемой в АС , от НСД в виде руководящего документа по стандартизации "Автоматизированные системы . Защита от НСД к информации . Классификация АС и требования по защите информации " [6], который должен использоваться заказчиками и разработчиками АС при формировании и реализации требований по защите. Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применен ия обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации , различием АС по своему составу , структуре , способам обработки информации , количественному и качественному составу пользователей и обслуживающего персонала. К числу определяющих признаков , по которым производится группировка АС по классам , относятся : наличие в АС информации различного уровня конфиденциально сти , уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации и режим обработки данных в АС , коллективный или индивидуальный. Устанавливается девять классов защищенности АС от НСД к информации . Классы подразделяются на группы , отлича ющиеся особенностями обработки информации в АС. Третья группа классифицирует АС , в которых работает один пользователь , допущенный ко всей информации АС , размещенной на носителях одного уровня конфиденциальности . Группа содержит два класса - ЗБ и ЗА. Вторая группа классифицирует АС , в которых пользователи имеют одинаковые права доступа (полномочия ) ко всей информации АС , обрабатываемой и (или ) хранимой на носителях различного уровня конфиденциальности . Группа содержит два класса - 2Б и 2А. Первая группа клас сифицирует многопользовательские АС , в которых одновременно обрабатывается и (или ) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС . Группа содержит пять классов - 1Д , 1Г , 1В , 1Б и 1А. До кументом предусмотрено , что комплекс программно-технических средств и организационных решений по защите информации от НСД в общем случае реализуется в рамках системы защиты информации от НСД (СЗИ НСД ), условно состоящей из следующих четырех подсистем : упр а вления доступом , регистрации и учета , криптографической и обеспечения целостности (см . приложение ). Наличие и условия реализации требований в зависимости от класса АС приведены в табличном виде и представлены по группам классов. В документе приведены услов ия использования в АС , предназначенной для обработки информации , являющейся собственностью государства и отнесенной к категории секретной , СВТ , защищенность которых определяется по РД "Показатели защищенности СВТ ". Кроме того , вопросы защиты информации и о ценки качества в той или иной мере затрагивались в общем виде в ГОСТах серии В на проектирование , испытания и приемку , а также постановку на производство военной техники (ГОСТ В 15.210-78 "Испытания опытных образцов изделий ", ГОСТ В 15.307-77 "Испытания и приемка серийных изделий " и ГОСТ В 15.211-78 "Порядок разработки программ и методик испытаний опытных образцов изделий . Общие положения ". В части сертификации программных средств с 1990 г . действует ГОСТ 28195-89 "Оценка качества программных средств ". Таки м образом , при введении в действие систем сертификации качество продукции в рассматриваемой области будет оцениваться в соответствии с приведенными выше стандартами и иными нормативными документами по защите информации. 2. Вопросы проектирования , внедрения и эксплуатации АС и их систем зашиты информации Рассматривая в предыдущей главе вопросы организационно-правового обеспечения безопасности информации , обрабатываемой техническими средствами и системами , имелось в виду прежде всего правовое регулирование на государственном уровне . Хотя отдельные аспекты права , организации работ захватывали и нижний уровень - уровень учреждений , а также предприятий различных форм собственности , использующих в своей деятельности технические средства для обработки информации , п одлежащей защите , на котором возникает потребность в решении проблем безопасности информации , составляющей как государственную , служебную , так и коммерческую тайну , секреты производства (ноу-хау ), а также безопасности самих автоматизированных систем , испо л ьзуемых , например , в управлении экологически опасными объектами. Поэтому рассмотрим , как и с помощью каких организационных мероприятий и процедур могут решаться проблемы безопасности информации на всех этапах проектирования и эксплуатации автоматизированны х систем и их систем защиты секретной (или иной подлежащей защите ) информации (СЗСИ ). Организация защиты информации , обрабатываемой техническими средствами , возлагается на руководителей учреждений и предприятий , руководителей подразделений , разрабатывающих и эксплуатирующих системы информатизации , а методическое руководство и контроль за обеспечением защиты информации - на руководителей подразделений по защите информации службы безопасности предприятия-заказчика. Система защиты секретной информации АС включ ает комплекс организационных , технических и программных (в т . ч . криптографических ) средств и мероприятий по защите информации . Научно-техническое руководство и непосредственную организацию работ по созданию СЗСИ АС осуществляет главный конструктор этой с и стемы или другое должностное лицо , обеспечивающее научно-техническое руководство всей разработкой системы информатизации. Разработка СЗСИ производится подразделением , разрабатывающим на предприятии АС , либо специализированным предприятием , имеющим лицензию на этот вид деятельности в области защиты информации. В случае разработки СЗСИ или ее отдельных компонент специализированным предприятием , имеющим лицензию на этот вид деятельности , на предприятии (в учреждении ), для которого разрабатывается АС (предприят ие-заказчик ), определяется подразделение (или отдельные специалисты ), ответственные за осуществление (внедрение и эксплуатацию ) мероприятий по защите информации в ходе выполнения работ с использованием сведений , составляющих государственную тайну. Разработ ка и внедрение СЗСИ АС проходит во взаимодействии с подразделениями по защите информации службы безопасности предприятия-заказчика , которые осуществляют на предприятии методическое руководство и участие в разработке конкретных требований по защите информа ц ии , аналитического обоснования необходимости создания СЗСИ , согласование выбора средств вычислительной техники и связи , технических и программных средств защиты , организацию работ по выявлению возможностей и предупреждению утечки секретной информации , уча с твуют в согласовании технических заданий на проведение работ , в аттестации АС по требованиям безопасности информации. Организация в учреждении , на предприятии работ по созданию и эксплуатации АС и их СЗСИ приводится в "Положении о порядке организации и про ведения на предприятии работ по защите информации , обрабатываемой техническими средствами ", с учетом конкретных условий определяющем : ........... - подразделения и отдельных специалистов , в том числе специализированных предприятий , участвующих в разработке и эксплуатации СЗСИ АС , их задачи и функции на различных стадиях создания СЗСИ ; - вопросы взаимодействия всех задействованных в этой работе подразделений и специалистов : - ответственность должностных лиц за своевременность и качество постановки требовани й по защите информации , за качество и научно-технический уровень разработок СЗСИ. Устанавливаются следующие стадии создания СЗСИ : 1) предпроектная стадия , включающая обследование объекта информатизации , разработку аналитического обоснования необходимости со здания СЗСИ и раздела технического задания на создание АС по разработке СЗСИ ; 2) стадия разработки проектов , включающая разработку СЗСИ в составе АС ; 3) стадия ввода в действие СЗСИ , включающая опытную эксплуатацию и приемочные испытания средств защиты инф ормации , а также аттестацию АС по требованиям безопасности информации. В комплексе работ по созданию АС должна предусматриваться опережающая разработка и внедрение СЗСИ . Поясним , что это такое . Система защиты секретной информации реализуется в виде подсист емы АС и включает комплекс организационных , программно-технических (в том числе криптографических ) средств , систем и мероприятий по защите информации . СЗСИ состоит из системной и функциональной частей . Системная часть является общей и применяется при разр а ботке , внедрении и эксплуатации всех или большинства задач АС , функциональная часть обеспечивает защиту информации при решении конкретной задачи и специфична для нее . Поэтому от своевременной постановки и правильного решения вопросов системной части СЗСИ з ависит своевременность разработки и эффективность самой автоматизированной системы. 1. На предпроектной стадии по обследованию объекта информатизации : устанавливается необходимость обработки секретной информации в АС , подлежащей разработке , оценивается ее степень секретности и объемы ; определяются режимы обработки этой информации , комплекс основных технических средств , условия расположения объекта информатизации , общесистемные программные средства , предполагаемые к использованию в разрабатываемой АС ; опреде ляется категория СВТ ; определяется класс АС ; определяется степень участия персонала АС в обработке (передаче , хранении , обсуждении ) информации , характер их взаимодействия между собой и с подразделениями защиты информации ; оценивается возможность использова ния имеющихся на рынке сертифицированных средств защиты информации ; определяются мероприятия по защите секретной информации на стадии разработки АС ; на основе действующих государственных нормативных документов по защите информации с учетом установленных ка тегории СВТ и класса защищенности АС задаются конкретные требования к СЗСИ АС , включаемые в раздел ТЗ на создание АС по разработке СЗСИ. Результаты предпроектного обследования в части наличия подлежащей защите информации и оценки ее уровня конфиденциальнос ти и ценности базируются только на документально оформленных перечнях сведений , будет ли этот перечень сведений , подлежащих засекречиванию или перечень сведений , составляющих служебную или коммерческую тайну. Наличие таких перечней является необходимым усл овием , но недостаточным для решения вопроса об уровне конфиденциальности информаций , обрабатываемой в АС . В целях решения этого вопроса необходимо проанализировать структуру информационного обеспечения системы , необходимость наличия в ней защищаемых интег р ированных сведений , объемы и формы представления информации для пользователей и другие составляющие. Степень секретности (конфиденциальность ) обрабатываемой информации определяется заказчиком АС и документально за подписью соответствующего руководителя пре дставляется разработчику СЗСИ. Предпроектное обследование может быть поручено специализированному предприятию , имеющему лицензию на этот вид деятельности , но и в этом случае анализ информационного обеспечения в части секретной информации целесообразно выпо лнять представителям предприятия-заказчика при методической помощи специализированного предприятия. На основании результатов предпроектного обследования разрабатываются аналитическое обоснование необходимости создания СЗСИ и раздел ТЗ на ее разработку. "Ан алитическое обоснование необходимости создания СЗСИ " должно содержать : информационную характеристику и организационную структуру объекта информатизации ; характеристику комплекса основных и вспомогательных технических средств , программного обеспечения , режи мов работы , технологического процесса обработки информации ; возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению ; предлагаемые к использованию сертифицированные средства защиты информации ; оценку материальных , трудовых и финансовых затрат на разработку и внедрение СЗСИ ; ориентировочные сроки разработки и внедрения СЗСИ ; обоснование необходимости привлечения специализированных предприятий для разработки СЗСИ ; перечень мероприятий по защите секретной информации на стации ра зработки АС. Раздел "Технического задания на создание АС " на разработку СЗСИ должен содержать : основание для разработки ; исходные данные создаваемой АС в техническом , программном , информационном и организационном аспектах ; категорию СВТ ; класс защищенности АС ; ссылку на государственные нормативные документы , с учетом которых будет разрабатываться СЗСИ и аттестовываться АС ; конкретизацию требований к СЗСИ на основе государственных нормативных документов и установленных категории и класса защищенности ; перече нь предполагаемых к использованию сертифицированных средств защиты информации ; обоснование проведения разработок собственных средств защиты информации , невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты и нформации ; состав и содержание работ по этапам разработки и внедрения , сроки и объемы финансирования работ ; перечень предъявляемой заказчику научно-технической продукции и документации. Важным , с экономической точки зрения , является принятие решения исходя из требований к АС в целом и СЗСИ , в частности , о выборе из имеющихся на рынке сертифицированных средств защиты информации , привлечении лицензированного предприятия или о разработке специализированных средств собственными силами . Однако при этом не следу е т забывать об их последующей сертификации при необходимости обработки секретной информации. В целях дифференцированного подхода к защите информации производится категорирование средств и систем вычислительной техники , предназначенных для обработки , передач и и хранения секретной информации , и классификация АС , предназначенных для обработки секретной и иной конфиденциальной информации. Категория средств и систем вычислительной техники устанавливается в соответствии с действующим "Положением по категорированию объектов ЭВТ на территории СССР " (ПКО ЭВТ ). Класс защищенности АС от несанкционированного доступа к информации устанавливаются в соответствии с требованиями руководящего документа Гостехкомиссии России "Автоматизированные системы . Защита от НСД к информац ии . Классификация АС и требования по защите информации ". Па основании требований п .2.18. этого РД устанавливается следующий порядок классификации АС в зависимости от степени секретности обрабатываемой информации : АС , обрабатывающие информацию с грифом "сек ретно ", должны быть отнесены по степени защищенности к классам ЗА , 2А и не ниже 1В ; АС , обрабатывающие информацию с грифом "совершенно секретно ", должны быть защищены по классам ЗА , 2А и не ниже 1Б ; АС , обрабатывающие информацию с грифом "особой важности ", должны быть защищены по классам ЗА , 2А , 1 А. 2. На стадии проектирования АС и СЗСИ в ее составе на основе предъявляемых к системе требований и заданных заказчиком ограничений на финансовые , материальные , трудовые и временные ресурсы осуществляются : разраб отка задания и проекта на строительство или реконструкцию объекта информатизации в соответствии с требованиями ТЗ на разработку СЗСИ : разработка раздела технического проекта на АС в части СЗСИ ; строительно-монтажные работы по оборудованию (переоборудованию ) объекта информатизации в соответствии с проектной документацией , утвержденной заказчиком ; разработка организационно-технических мероприятий по защите объекта информатизации в соответствии с предъявляемыми требованиями ; закупка сертифицированных серийно в ыпускаемых в защищенном исполнении технических средств обработки , передачи и хранения информации ; закупка и специальные исследования на побочные электромагнитные излучения и наводки несертифицированных технических средств с выдачей предписаний на их эксплу атацию ; специальная проверка импортных технических средств на предмет возможно внедренных в эти средства специальных электронных устройств ("закладок "); размещение и монтаж технических средств АС ; закупка сертифицированных серийно выпускаемых технических и программных (в том числе криптографических ) СЗИ и их адаптация ; разработка и последующая сертификация программных СЗИ в случае , когда на рынке отсутствуют требуемые программные средства ; объектовые исследования технических средств АС на побочные электрома гнитные излучения и наводки с целью определения соответствия установленной категории для этих технических средств ; монтаж средств активной защиты в случае , когда по результатам специальных или объектовых исследований технических средств не выполняются норм ы защиты информации для установленной категории этих технических средств ; организация охраны и физической защиты объекта информатизации и отдельных технических средств ; разработка и реализация разрешительной системы доступа пользователей и эксплуатационног о персонала АС к обрабатываемой информации , оформляемом в виде раздела "Положения о разрешительной системе допуска исполнителей к документам и сведениям в учреждении (на предприятии )"; определение заказчиком подразделений и лиц , ответственных за эксплуатац ию СЗСИ , обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации АС ; выполнение генерации пакета прикладных программ в комплексе с программными средствами зашиты информации ; разработка организационно-распорядительной и рабочей документации по эксплуатации АС в защищенном исполнении , а также средств и мер защиты информации (приказов , инструкций и других документов ). Для эффективной и надежной с точки зрения обеспечения безопасности информации работ АС необходимо правильно организ овать разрешительную систему доступа пользователей к информации в АС , т.е . предоставить пользователям право работать с той информацией , которая необходима им для выполнения своих функциональных обязанностей , установить их полномочия по доступу к информаци и . Это означает , что необходимо определить и оформить порядок установления уровня полномочий пользователей , а также круга лиц , которым это право предоставлено , установить правила разграничения доступа, регламентирующие права доступа субъектов к объектам , т. е . не только кто из пользователей АС и их программ допускается к тем или иным , программам , файлам , записям , но и какие действия при этом они могут осуществлять (читать , писать , выполнять ). Все это оформляется службой безопасности информации или администра т ором АС в виде матрицы доступа или иных правил разграничения доступа. Среди организационных мероприятий по обеспечению безопасности информации - охрана объекта , на котором расположена защищаемая АС (территория , здания , помещения , хранилища информационных н осителей ), путем установления соответствующих постов технических средств охраны или любыми другими способами , предотвращающими или существенно затрудняющими хищение СВТ , информационных носителей , а также НСД к СВТ и линиям связи. Следует отметить , что в по следнее время в направлении физической защиты помещений , самих СВТ , информационных носителей наблюдается смещение акцентов в сторону использования в этих целях средств защиты , основанных на новых принципах . Например , доступ в помещения разрешается и контр о лируется с помощью АС , оконечными устройствами которой являются различного рода терминалы , использующие средства аутентификации на различных физических принципах , с помощью которых осуществляется разграничение доступа в помещения , вход в систему и т.д. 3. На стадии ввода в действие АС и СЗСИ в ее составе осуществляются : опытная эксплуатация разработанных или адаптированных средств защиты информации в комплексе с прикладными программами в целях проверки их работоспособности и отработки технологического проце сса обработки информации ; приемочные испытания СЗИ по результатам опытной эксплуатации с оформлением приемо-сдаточного акта , подписываемого разработчиком (поставщиком ) и заказчиком ; аттестация АС по требованиям безопасности информации , которая производится аккредитованным в установленном порядке органом по аттестации в соответствии с "Положением по аттестации объектов информатики по требованиям безопасности информации ", действующим в системе сертификации продукции и аттестации объектов информатики , работаю щ ей под управлением Гостехкомиссии России. При положительных результатах аттестации владельцу АС выдается "Аттестат соответствия АС требованиям безопасности информации ". Эксплуатация АС осуществляется в полном соответствии с утвержденной организационно-расп орядительной и эксплуатационной документацией , предписаниями на эксплуатацию технических средств. Технология обработки информации в АС различна и зависит от используемых СВТ , программных средств , режимов работы . Не вдаваясь в особенности технологического п роцесса , обусловленные различиями в технике , программном обеспечении и другими причинами , можно констатировать , что основной характерной особенностью , связанной с обработкой секретной или иной подлежащей защите информации , является функционирование систем ы защиты информации от НСД (СЗИ НСД ) как комплекса программно-технических средств и организационных (процедурных ) решений , предусматривающей учет , хранение и выдачу пользователям информационных носителей , паролей , ключей , ведение служебной информации СЗИ Н С Д (генерацию паролей , ключей , сопровождение правил разграничения доступа ), оперативный контроль за функционированием СЗСИ , контроль соответствия общесистемной программной среды эталону и приемку включаемых в АС новых программных средств , контроль за ходом технологического процесса обработки информации путем регистрации анализа действий пользователей , сигнализации опасных событий. Перечисленные составляющие являются функциональной направленностью службы безопасности информации , администратора АС и фиксируютс я , с одной стороны , в положениях об этих службах и общей организационной документации по обеспечению безопасности информации ("Положение о порядке организации и проведения на предприятии работ по защите информации в АС ", "Инструкция по защите информации , о брабатываемой в АС предприятия ", разделе "Положения о разрешительной системе допуска исполнителей к документам и сведениям на предприятии ", определяющем особенности системы допуска в процессе разработки и функционирования AQ, а с другой стороны , в проектн о й документации СЗИ НСД (инструкциях администратору АС , службе безопасности информации , пользователю АС ). Следует отметить , что без надлежащей организационной поддержки программно-технических средств защиты информации от НСД и точного выполнения предусмотре нных проектной документацией процедур в должной мере не решить проблему обеспечения безопасности информации в АС , какими бы совершенными эти программно-технические средства не были. Контроль состояния и эффективности защиты информации осуществляется подраз делениями по защите информации службы безопасности предприятия-заказчика и заключается в проверке по действующим методикам выполнения требований нормативных документов по защите информации , а также в оценке обоснованности и эффективности принятых мер. Лекц ия 8. Комплекс технических средств , программного обеспечения , технологического процесса обработки информации при использовании системы электронного документооборота с ОПФР 1. Информационная характеристика предприятия , экономическое обоснование необходимост и внедрения системы электронного документооборота с ОПФР. 2. Характеристика комплекса технических средств , программного обеспечения , режимов работы , технологического процесса обработки информации. 3. Перечень подготавливаемых документов при использовании с истемы электронного документооборота с ОПФР . Характеристика СКЗИ "Верба ", порядок работы с ней при использовании системы электронного документооборота с ОПФР. 1. В соответствии с законом РФ 1-ФЗ от 10.01.2002 года в Государственном Учреждении - Отделении П енсионного фонда по Краснодарскому краю создана система электронного документооборота с применением электронной цифровой подписи. В настоящее время индивидуальные сведения о стаже и заработке застрахованных лиц представляются в органы Пенсионного фонда РФ на магнитном и бумажном носителях , каждое заверенное личной подписью руководителя и печатью предприятия . Это приводит к значительным затратам времени и расходных материалов. Внедрение в эксплуатацию технологии приема индивидуальных сведений , заверенных эле ктронной цифровой подписью , позволит произвести экономию трудовых и материальных ресурсов. Управление Пенсионного фонда РФ в Западном административном округе города Краснодара предлагает рассмотреть вопрос о подключении предприятия к системе электронного д окументооборота ПФ РФ для представления индивидуальных сведений о стаже и заработке застрахованных лиц в электронном виде с ЭЦП. Требования по обеспечению информационной безопасности в сэд опфр. Информационная безопасность в СЭД ОПФР должна обеспечиваться системой , включающей в себя комплекс организационных , инженерно-технических мер защиты информации на этапах подготовки , обработки , передачи , приема , хранения и уничтожения электронных документов. Технологические процессы подготовки , ввода и обработки элект ронных документов , а также установки , настройки , эксплуатации и восстановления средств обработки должны быть регламентированы и обеспечены инструктивными и методическими материалами. Готовность абонента к ведению защищенного электронного документооборота д олжна подтверждаться пакетом документов , перечисленных в п . п .3.4 Временного Регламента. Обмен электронными документами должен проводится с использованием специализированных АРМ АС , оборудованных СКЗИ "Верба-О W" и средствами защиты информации от несанкцион ированного доступа. Работа абонентов в СЭД ОПФР с использованием средств криптографической защиты информации должна осуществляться в соответствии с требованиями законодательства Российской Федерации , ФАПСИ и Гостехкомиссии России , инструкциями и методическ ими рекомендациями ПФР , ОПФР , а также эксплуатационной документацией на средства криптографической защиты информации. Право доступа к АРМ АС должны иметь только уполномоченные установленным порядком лица , прошедшие соответствующую подготовку , изучившие тре бования ФАПСИ , инструкции и методические рекомендации Отделения ПФР , а также эксплуатационную документацию на средства криптографической защиты информации. При эксплуатации СКЗИ и работе в СЭД ОПФР должна быть обеспечена : тайна конфиденциальной информации ; тайна ключей шифрования и электронной цифровой подписи и защита их от компрометации ; тайна паролей абонентов системы. Порядок регистрации и подключения к СЭД ОПФР Юридические и физические лица направляют на имя Управляющего ОПФР по Краснодарскому краю пис ьменное заявление о подключении его к СЭД ОПФР. Получив письменное заявление от юридического , физического лица на его подключение к СЭД ОПФР , Отделение ПФР направляет в его адрес следующий пакет документов : соглашение об обмене электронными документами в С ЭД ОПФР ; номер ключевой серии , выделенной ОПФР по Краснодарскому краю ; номера ключей шифрования и электронной цифровой подписи из данной ключевой серии , выделенные Управлению ПФР , с которым будет осуществлять электронный документооборот юридическое или физ ическое лицо ; акт о готовности к работе в СЭД ОПФР ; Порядок действий юридического и физического лица : проведение мероприятий по подготовке к эксплуатации средств криптографической защиты информации в соответствии с Требованиями к юридическим и физическим л ицам , на которые распространяется действие лицензий ФАПСИ , выданных Пенсионному фонду Российской Федерации ; назначение из числа своих сотрудников администратора информационной безопасности организации и его заместителя , проведение их обучения правилам поль зования средствами криптографической защиты информации. Физическое лицо , как самостоятельный участник СЭД ОПФР , является администратором информационной безопасности в одном лице. Юридическое или физическое лицо направляет в Отделение ПФР по Краснодарскому краю следующий комплект документов : подписанное Соглашение об обмене электронными документами в СЭД ОПФР ; акт о готовности к работе в СЭД ОПФР (1 экз ); контрольный лист с образцами печати юридического лица и личной подписью руководителя (контрольный лист ф изического лица также представляется с образцом его личной подписи ) заверенные нотариусом ; копию приказа о назначении администратора информационной безопасности и его заместителя у юридического лица , заверенную печатью и подписью руководителя ; акт о готовн ости к эксплуатации программно-аппаратного комплекса , защищенного СКЗИ (1 экз ). Государственное учреждение - Отделение ПФР по Краснодарскому краю изготавливает криптографические ключи абонента . Уполномоченные должностные лица ОПФР оформляют Акт об изготовл ении криптографических ключей в трех экземплярах . Два экземпляра направляются другой стороне , один остается в ГУ-ОПФР. При соблюдении юридическим или физическим лицом всех вышеуказанных условий Отделение подписывает Соглашение об обмене электронными докуме нтами в системе электронного документооборота ОПФР . После чего юридическое или физическое лицо становится абонентом системы электронного документооборота ОПФР. Абонент направляет своего администратора информационной безопасности либо прибывает самостоятель но в отдел по защите информации ОПФР по Краснодарскому краю для : проведения регистрации в системе СЭД ОПФР ; получения открытых ключей шифрования и электронной цифровой подписи согласно Акту об изготовлении криптографических ключей ; получения справочников о ткрытых ключей шифрования и ЭЦП ; получения паролей для организации системы оповещения о компрометации ключей по телефонной сети общего пользования. 2. Организация ключевой с истемы Ключевая система СКЗИ построена по принципу открытого распределения ключей и обеспечивает защищенную связь между абонентами системы по принципу “каждый с каждым” в одной ключевой серии. Закрытые ключи должны храниться в тайне . Открытые ключи не явля ются секретными и публикуются в справочниках открытых ключей шифрования и электронной цифровой подписи абонентов системы (далее - справочники ). Знание открытого ключа шифрования и ЭЦП не дает практической возможности определить закрытый ключ. Ключевая сист ема состоит из : действующего комплекта ключей шифрования и ЭЦП ; резервного комплекта ключей шифрования и ЭЦП ; справочников открытых ключей шифрования ; справочников открытых ключей ЭЦП. Действующий и резервный комплект ключей состоит из закрытых и открытых ключей шифрования и ЭЦП. Действующий комплект ключей предназначен для работы в СЭД ОПФР с использованием СКЗИ. Резервный комплект ключей предназначен для работы в СЭД ОПФР с использованием СКЗИ при компрометации действующего комплекта ключей. Ключевые носи тели и срок их действия Носителями ключевой информации являются гибкие магнитные диски (дискеты 3,5", формата М S DOS, емкостью 1,44 Мб , далее - магнитный носитель ключевой информации (МНКИ ). Порядок обращения , учета , хранения ключей и их регистрационных ка рточек. Общее управление информационной безопасностью в СЭД ОПФР осуществляется отделом по защите информации ОПФР по Краснодарскому краю. Обеспечение абонентов СЭД ОПФР магнитными носителями ключевой информации осуществляется администратором защиты информа ции ОПФР через отдел по защите информации. Выдача МНКИ и их регистрационных карточек абонентам системы осуществляется администратором по журналу учета магнитных носителей ключевой информации. Учет ключей и их регистрационных карточек имеет целью обеспечить контроль за их наличием , движением , обращением и исключить обезличенное пользование ими . В органах ПФР контроль за учетом ключей , регистрационных карточек и за обращением с ними возлагается на администратора защиты информации ОПФР. Все МНКИ с действующими и резервными комплектами ключей шифрования и ЭЦП и их регистрационные карточки должны быть учтены в описи (журнале ) учета магнитных носителей информации. Администратор защиты информации ОПФР не позднее чем за два месяца до плановой смены ключей в СЭД ОПФР изготавливает действующие и резервные комплекты ключей шифрования и электронной цифровой подписи , регистрационные карточки и регистрирует их в журнале учета магнитных носителей ключевой информации. Администратор защиты информации ОПФР после изготовления к омплектов ключей для всех абонентов формирует справочники открытых ключей шифрования и электронной цифровой подписи , подписывает (сертифицирует ) их своим ключом электронной цифровой подписи и записывает на магнитные носители ключевой информации , подготовл е нные для абонента системы. Администратор защиты информации ОПФР не позднее чем за месяц до плановой смены ключей извещает абонентов системы о предстоящей смене ключей. Администратор защиты информации Отделения не позднее чем за две недели до плановой смены ключей выдает новые действующие и резервные комплекты ключей шифрования и электронной цифровой подписи . При получении ключей представитель абонента проверяет их номера , серии и расписывается в журнале учета магнитных носителей ключевой информации и регис т рационной карточке. Администратор безопасности абонента системы не позднее чем за неделю до плановой смены ключей самостоятельно устанавливает и конфигурирует справочники открытых ключей шифрования и электронной цифровой подписи на АРМ АС в соответствии с эксплуатационной документацией на средства криптографической защиты информации. Во избежание потери ключевой информации при выходе из строя магнитных носителей ключевой информации , не имеющем отношения к фактам компрометации , администратор защиты информаци и ОПФР изготавливает их рабочие копии (второй комплект ). По получению МНКИ с действующими ключами ЭЦП и шифрования администратор безопасности абонента использует один комплект МНКИ . Этот комплект хранится у администратора безопасности в отдельных , опечатан ных конвертах в металлическом шкафу (сейфе , либо в отдельной ячейке сейфа ). Один ключ от металлического шкафа (сейфа , ячейки сейфа ) находится у руководителя предприятия (организации ) - абонента системы , второй ключ хранится у администратора безопасности. П ри убытии администратора безопасности в длительную командировку (более 2-х суток ), в отпуск , на лечение и т.д . комплект МНКИ администратора решением руководителя передается во временное пользование другому ответственному лицу . Передача МНКИ осуществляется под роспись в описи (журнале ) учета магнитных носителей информации. Второй комплект (рабочие копии МНКИ ) хранится в отдельном опечатанном конверте (пенале ) в сейфе (отдельной ячейке сейфа ) у руководителя предприятия (организации ) - абонента СЭД ОПФР. Поряд ок обработки электронных документов с использованием СКЗИ “ВЕРБА -OW” Порядок обработки исходящих электронных документов. Подготовить файл , предполагаемый к подписанию ЭЦП , шифрованию и отправке. Загрузить программу “Файловый криптоменеджер Верба-О W". Помес тить файл на узел функции СКЗИ , которой предполагается воспользоваться (ЭЦП , шифрование , ЭЦП + шифрование ). Выбрать получателя (без выбора получателя функция шифрования не работает ). Выполнить необходимую функцию СКЗИ (при этом копия преобразованного файла автоматически помещается в электронный архив ). Поместить файл на узел функции СКЗИ - Проверка и убедиться в правильности выполнения функции СКЗИ и выбора получателя. Завершить работу с программой. Отправить файл адресату. Порядок обработки входящих электр онных документов При поступлении подписанного ЭЦП и зашифрованного файла , загрузить программу “Файловый криптоменеджер Верба-О”. Поместить файл на узел функции СКЗИ - Проверка . После чего будет выведена информация о данном файле . В том случае если файл был адресован Вам , появится сообщение “Файл можно расшифровать” . В противном случае сообщение “Файл нельзя расшифровать ". Выполнить необходимую функцию СКЗИ (перед выполнением функции СКЗИ копия исходного файла автоматически помещается в электронный архив ). С писок рекомендуемой литературы Источники : 1. Конституция Российской Федерации. 2. Гражданский кодекс Российской Федерации ч .1, ч .2. 3. Уголовный кодекс Российской Федерации. 4. Федеральный закон "Об информации , информационных технологиях и о защите информа ции ". (27 июля 2006 г . N 149-ФЗ ). 5. Закон Российской Федерации "О государственной тайне " от 31.07.93 г . № 5485-1 // Собрание законодательства Российской Федерации . 1997. № 41. 8. Патентный закон РФ (от 23.09.92г . N3517-I). 10. Закон "О правовой охране про грамм для электронных вычислительных машин и баз данных " (от 23.09.92г . N3523-I). 11. Закон " О коммерческой тайне " (от 29 июля 2004 г . N 98-ФЗ ). 12. Закон "Об авторском праве и смежных правах ", (от 9.07.93 г . N5351-I). 14. Закон "О связи " (от 16.02.95 г . N15-ФЗ ). 15. Закон “Об участии в международном информационном обмене ". Основная литература : 16. Герасименко В.А . Защита информации в автоматизированных системах обработки данных . Книга 1. Москва , Энергоатомиздат , 1994. 17. Герасименко В.А . Защита информации в автоматизированных системах обработки данных . Книга 2. Москва , Энергоатомиздат , 1994. 18. Герасименко В.А . Малюк А.А . Основы защиты информации . Москва , 1997. 19. Шиверский А.А . Защита информации : проблемы теории и практики . Москва , Юрист , 1999. 20. Шлыко в В.В . Безопасность предприятия в условиях рынка Рязань , Горизонт , 1999. 21. Межведомственная комиссия по защите информации . Нормативно-правовые акты по защите государственной тайны . Часть 1, Москва 1998. 22. Межведомственная комиссия по защите информации. Нормативно-правовые акты по защите государственной тайны . Часть 2, Москва 1998. 23. Соловьев Э.Я . Коммерческая тайна и ее защита . М .: ИВФ . Антал . 1999. 24. Комментарий к Уголовному кодексу Российской Федерации. 25. Комментарий к Конституции Российской Фед ерации. 26. Комментарий к Кодексу РСФСР об административных правонарушениях. 27. Материалы Международной конференции "Безопасность информации ", проведенной в Москве 14-18 апреля 1997 года , 394с. ...... Тема 7. Защита информации в системах электронног о делопроизводства Содержание 7.1. Доступ к информационным объектам. 7.2. Механизмы обеспечения безопасности. 7.3. Шифрование и дешифрование информации. 7.4. Упражнение. 7.5. Контрольные вопросы. Ключевые слова Администраторы . Протокол . Алгоритмы шифро вания данных . Стандарт шифрования данных . Стандарт цифровой подписи . Шифрование данных . Секретные ключи . Открытые ключи . Сеансовые ключи . Цифровые подписи. 7.1. Доступ к информационным объектам Файлы и папки , хранящиеся на локальном компьютере , в сети или в Интернете , можно передавать в общий доступ . Это делается по-разному , в зависимости от того , кому требуется предоставить доступ к файлам , а также от того , с какого компьютера другой пользователь будет обращаться к файлам. Оба пользователя работают н а одном компьютере Файлы , к которым требуется предоставить доступ , можно поместить в папку Общие документы. Файлы , хранящиеся в папке Общие документы и ее подпапках , всегда доступны другим пользователям данного компьютера. Чтобы обеспечить общий доступ к ф айлам и папкам на компьютере : 1. Откройте папку Мои документы. 2. Выберите файл или папку , доступ к которым следует предоставить. 3. Перетащите этот файл или папку в папку Общие документы, указанную в списке Другие места. Чтобы открыть папку Мои документы , дважды щелкните значок Мои документы на рабочем столе. На компьютере , подключенном к сетевому домену , папки Общие документы , Рисунки (общие ) и Музыка (общая» недоступны . Если в папке Мои документы или ее подпапках нет файла или папки , доступ к которым тре буется предоставить , найдите этот файл или папку , нажав кнопку Поиск . Чтобы запустить средство поиска , нажмите кнопку Пуск, выберите команду Поиск , а затем выберите команду Файлы и папки. Файлы и папки , перемещенные или скопированные в папку Общие документ ы , становятся доступными всем пользователям компьютера. Оба компьютера расположены в одной сети Папка , расположенная на локальном компьютере , может быть сделана доступной всем остальным пользователям , работающим в сети . Также можно запрещать или разреш ать другим пользователям изменять файлы в общей папке. Чтобы предоставить доступ к папке или диску для совместной работы с использованием компонента Общие папки : 1. Откройте узел Управление компьютером (локальным ). 2. В дереве консоли щелкните узел Ресурсы. 3. В меню Действие выберите команду Новый общий файловый ресурс. 4. Следуйте инструкциям , выводящимся в окне Создание общей папки. Выберите папку или диск , введите имя и описание нового общего ресурса и установите разрешения . Введя эти сведения , нажмите кнопку Готово. Чтобы открыть инструмент Управление компьютером , нажмите кнопку Пуск, затем выберите команды Настройка и Панель управления. Дважды щелкните значок Администрирование, а затем дважды щелкните значок Управление компьютером. Пользоваться компоне нтом Общие папки могут только члены группы Администраторы или Опытные пользователи . Чтобы предоставить доступ к папке или диску для совместной работы с использованием Проводника Windows откройте его и найдите общую папку или диск , для которых требуется доб авить новое имя общего ресурса. В случае наличия подключения к домену выполните следующий действия : 1. Правой кнопкой мыши щелкните общую папку или диск , затем выберите команду Общий доступ и безопасность. 2. Нажмите кнопку Открыть общий доступ к этой папк е. 3. Установите требуемые параметры и нажмите кнопку OK. Если подключение к домену отсутствует или если на компьютере установлена операционная система Windows XP Home Edition, выполните следующие действия : 1. Правой кнопкой мыши щелкни те общую папку или диск , затем выберите команду Свойства. 2. На вкладке Доступ установите переключатель Открыть общий доступ к этой папке . 3. Установите требуемые параметры и нажмите кнопку OK. Переключатель Открыть общий доступ к папке позволяет пользов ателям сети копировать файлы , содержащиеся в данной папке в режиме только чтение . Изменить ваши или записать свои файлы , удаленные пользователи не могут. Общий ресурс – это сетевое имя папки под ним она будет отображаться в ЛВС (сетевое имя не обязательно должно совпадать с именем самой папки ). Переключатель Разрешить изменение файлов по сети позволяет пользователям копировать в эту папку свои файлы , а так же изменять файлы других пользователей . По соображениям безопасности не стоит открывать полный досту п к системным папкам (Windows, Program Files) и папкам , содержащим важные для вас данные . Лучше всего создать специальную папку для входящих файлов и открыть полный доступ только к ней. Чтобы предоставить доступ к папке или диску для совместной работы с ис пользованием командной строки : 1. Откройте окно Командная строка (нажмите кнопку Пуск и выберите команды Программы , Стандартные, Командная строка ) . 2. Введите : net share ресурс =диск :путь. Изменение прав доступа или запрет другим пользователям на доступ к файлам Пользователь может изменить права доступа или запретить другим пользователям обращаться к своим папкам и содержащимся в них файлам . Если компьютер подключен к домену , для этого необходимо установить соответствующие разрешения на доступ к файлам и папкам . Если компьютер подключен к рабочей группе , для запрета доступа достаточно сделать папки частными. Если компьютер подключен к сетевому домену , используйте следующую процедуру : 1. Откройте проводник и найдите файл или папку , для которой требуется ус тановить разрешения. 2. Щелкните файл или папку правой кнопкой мыши , выберите команду Свойства и перейдите на вкладку Безопасность. 3. Выполните одно из следующих действий : Чтобы установить разрешения для группы или пользователя , которого нет в списке Группы или пользователи , нажмите кнопку Добавить . Введите имя группы или пользовател я , для которого устанавливаются разрешения , и нажмите кнопку ОК. Чтобы сменить или удалить разрешения на доступ для существующей группы или пользователя , выберите имя этой группы или пользователя. Чтобы предоставить или отменить разрешение , в списке Разрешения для Имя пользователя или группы установите соответственно флажок Разрешить или Запретить. Чтобы удалить группу или пользователя из списка Группы или пользователи , нажмите кнопку Удалить. Если флажки в списке Разрешения для Имя пользователя или группы затенены или кнопка Удалить недоступна , значит , дан ный объект унаследовал разрешения от родительской папки. При добавлении нового пользователя или группы им по умолчанию назначаются разрешения Чтение и выполнение , Список содержимого папки и Чтение . Существуют следующие разрешения на доступ к папкам : Полный доступ , Изменение , Чтение и выполнение , Список содержимого папки , Чтение и Запись (см . таблицу ): Разрешение Описание Обзор папок / Выполнение файлов Для папок : «Обзор папок» разрешает или запрещает перемещение по структуре папок в поисках других файлов или папок , даже если пользователь не обладает разрешением на доступ к просматриваемым папкам (применимо только к папкам ). Разрешение на обзор папок действительно только в том случае , если группа или пользователь не обладает правом Обход перекрестной провер ки , устанавливаемым в оснастке «Групповая политика» . (По умолчанию группа «Все» наделена правом Обход перекрестной проверки .) Для файлов : «Выполнение файлов» разрешает или запрещает запуск программ (применимо только к файлам ). Разрешение «Обзор папок» для папки не означает автоматическую установку разрешения «Выполнение файлов» для всех файлов в этой папке Содержание папки / Чтение данных «Содержание папки» : разрешает или запрещает просмотр имен файлов и подпапок , содержащихся в папке . Это разрешение относ ится только к содержимому данной папки и не означает , что имя самой этой папки также должно включаться в список (применимо только к папкам ). «Чтение данных» : разрешает или запрещает чтение данных , содержащихся в файлах (применимо только к файлам ) Чтение а трибутов Разрешает или запрещает просмотр таких атрибутов файла или папки , как «Только чтение» и «Скрытый» . Атрибуты определяются файловой системой NTFS Создание файлов / Запись данных «Создание файлов» : разрешает или запрещает создание файлов в папке (пр именимо только к папкам ). «Запись данных» : разрешает или запрещает внесение изменений в файл и запись поверх имеющегося содержимого (применимо только к файлам ) Создание папок / Дозапись данных «Создание папок» : разрешает или запрещает создание папок внутр и папки (применимо только к папкам ). «Дозапись данных» : разрешает или запрещает внесение данных в конец файла , но не изменение , удаление или замену имеющихся данных (применимо только к файлам ) Запись атрибутов Разрешает или запрещает смену таких атрибутов файла или папки , как «Только чтение» и «Скрытый» . Атрибуты определяются файловой системой NTFS. Разрешение «Запись атрибутов» не подразумевает права на создание или удаление файлов или папок : разрешается только вносить изме-нения в их атрибуты . Сведения о том , как разрешить (или запретить ) операции создания и удаления , см . в описаниях разрешений Создание файлов / Запись данных , Создание папок / Дозапись данных , Удаление подпапок и файлов и Удаление Удаление подпапок и файлов Разрешает или запрещает удален ие подпапок и файлов даже при отсутствии разрешения «Удаление» (применимо только к папкам ) Чтение разрешений Разрешает или запрещает чтение таких разрешений на доступ к файлу или папке , как «Полный доступ» , «Чтение» и «Запись» Смена разрешений Разрешает или запрещает смену таких разрешений на доступ к файлу или папке , как «Полный доступ» , «Чтение» и «Запись» Смена владельца Разрешает или запрещает вступать во владение файлом или папкой . Владелец файла или папки всегда может изменять разрешения на доступ к ним независимо от любых разрешений , защищающих этот файл или папку Скрытие файлов и папок Чтобы скрыть файл или папку необходимо : 1. Откройте папку Мои документы . Если в папке Мои документы или ее подпапках нет файла или папки , которые требуется скрыт ь , найдите этот файл или папку , нажав кнопку Поиск . Чтобы запустить средство поиска , нажмите кнопку Пуск, выберите команду Поиск , а затем выберите команду Файлы и папки. 2. Щелкните файл или папку правой кнопкой мыши и выберите команду Свойства . 3. На вклад ке Общие установите флажок Скрытый. Для просмотра скрытых файлов выберите в меню Сервис в окне любой папки команду Свойства папки . На вкладке Вид в группе Дополнительные параметры выберите вариант Показывать скрытые файлы и папки. Скрытые файлы и папки буд ут иметь вид недоступных элементов в знак того , что они являются не совсем обычными . Как правило , скрываются программные или системные файлы , которые не подлежат изменению или удалению. Чтобы отобразить другие скрытые файлы , снимите флажок Скрывать защищен ные системные файлы (рекомендуется ). Если требуется отображать расширения имен для всех файлов , снимите флажок Скрывать расширения для зарегистрированных типов файлов. Технология предоставления общего доступа к принтеру 1. Откройте компонент Принтеры и ф аксы (нажмите кнопку Пуск , выберите команды Настройка и Панель управления , затем дважды щелкните значок Принтеры и факсы ). 2. Щелкните правой кнопкой тот принтер , который требуется сделать общим , и выберите команду Общий доступ . 3. Перечень параметров на в кладке Доступ варьируется в зависимости от того , включен ли на компьютере совместный доступ . Если выводится сообщение о необходимости включения общего доступа к принтеру , необходимо запустить Мастер домашней сети для включения общего доступа к принтерам . З апустите мастер , щелкнув ссылку на вкладке Доступ , и следуйте его инструкциям . После включения общего доступа начните данную процедуру сначала. Если отображаются параметры для предоставления и отмены общего доступа к принтеру : 1. На вкладке Доступ выбери те Общий ресурс а затем введите имя для общего принтера. 2. Если принтер должен совместно использоваться различными платформами или операционными системами , нажмите кнопку Дополнительные драйверы . Выберите те среды и операционные системы , которые будут исп ользовать этот принтер , и нажмите кнопку OK, чтобы установить необходимые драйверы. 3. Нажмите кнопку OK либо , если были установлены дополнительные драйверы , кнопку Закрыть. Изменение разрешений для принтера возможно только при наличии разрешения Управлени е принтерами (одно из нескольких разрешений для принтеров ). Для задания новых разрешений на доступ к принтеру необходимо выполнить : 1. Откройте компонент Принтеры и факсы . 2. Щелкните правой кнопкой мыши принтер , для которого нужно задать разрешения , выбер ите команду Свойства и откройте вкладку Безопасность. Окно свойств принтера также можно открыть из папки Принтеры и факсы . Для этого выделите принтер и щелкните ссылку Настройка параметров печати в группе Задачи в левой части окна папки . Этот параметр дост упен , только если включено представление папок в виде web -страниц и принтер выделен. 3. Нажмите кнопку Добавить. 4. Нажмите кнопку Типы объектов , выберите типы пользователей , которых требуется добавить , и нажмите кнопку OK . 5. Нажмите кнопку Размещение , вы берите область поиска и нажмите кнопку OK . 6. В поле Имя введите через точку с запятой ( ; ) имена пользователей или групп , для которых требуется задать разрешения. 7. Чтобы проверить распознавание имен по каталогу , нажмите кнопку Проверить имена . Распозна нные имена будут подчеркнуты . Если некоторые имена не будут подчеркнуты , нажмите кнопку Проверить имена еще раз . Для получения помощи при поиске имен нажмите кнопку Дополнительно , введите начало имени в поле Имя , а затем нажмите кнопку Поиск . В возвращенно м списке выберите имя , которое требуется добавить , и нажмите кнопку OK . Чтобы выделить много имен по одному , щелкните каждое из нужных имен , удерживая нажатой клавишу CTRL; чтобы выделить блок имен , щелкните первое имя , нажмите клавишу SHIFT и , удерживая е е нажатой , щелкните последнее имя. 8. Когда все нужные имена будут перечислены в поле Имя, нажмите кнопку OK. 9. В области Разрешения установите флажки Разрешить или Запретить для каждого разрешения , которое требуется предоставить или запретить. 10. Чтобы просмотреть или изменить элементы разрешений , составляющие разрешения Печать , Управление принтерами и Управление документами , нажмите кнопку Дополнительно. Подключение к сетевому принтеру 1. Откройте компонент Принтеры и факсы . 2. В группе Типичные задач и печати щелкните ссылку Установка принтера , чтобы запустить мастер установки принтера , а затем нажмите кнопку Далее. 3. Выберите вариант Сетевой или подключенный к другому компьютеру принтер и нажмите кнопку Далее. 4. Подключитесь к нужному принтеру одним из следующих трех способов : Ш Поиск в Active Directory. Этот способ доступен при работе в домене Windows, в котором выполняется служба каталогов Active Directory: • Выберите параметр Найти принтер в Active Directory , а затем нажмите кнопку Далее. • Нажми те кнопку Обзор справа от поля Размещение, выберите размещение принтера и нажмите кнопку OK . • Нажмите кнопку Найти. • Выберите принтер , к которому требуется подключиться , и нажмите кнопку ОК. Ш Ввод имени принтера или обзор принтеров : • Выберите вариант П одключиться к принтеру . • Выполните одно из следующих действий : * Введите имя принтера в следующем формате : \ имя _сервера _печатисетевое _имя * Выберите принтер в сети . Нажмите кнопку Далее и выберите нужный принтер в поле Общие принтеры . • Нажмите кнопку Дал ее. Ш Выберите вариант Подключиться к принтеру в Интернете , в домашней сети или в интрасети : • Введите URL-адрес принтера в следующем формате : http://имя _сервера _печати /Printers/сетевое _имя /.printer 5. Чтобы завершить подключение к сетевому принтеру , сле дуйте инструкциям , появляющимся на экране. Существует также ряд альтернативных способов подключения к сетевому принтеру . Например , можно подключиться к принтеру , перетащив его значок из папки Принтеры сервера печати в папку Принтеры локального компьютера , либо щелкнув значок принтера правой кнопкой и выбрав команду Подключиться. Еще одним способом добавления принтера является двойной щелчок ярлыка Установка принтера. Этот вариант доступен только при отображении папок в классическом виде Windows XP, когда пр интер не выделен. 7.2. Стандартные механизмы обеспечения безопасности Стандартными механизмами обеспечения безопасности сетевых систем являются : протокол Kerberos, протокол IPSec, инфраструктура открытого ключа PKI. Инфраструктура – это набор совместн о используемых служб и компонентов . Она применяется для построения безопасной среды , позволяющей надежно обмениваться сообщениями электронной почти через Интернет и Интранет , защитить Web-узел и проходящие через него транзакции , расширить возможности шифр у ющей файловой системы , развернуть систему для работы со смарт-картами и т.п. Протокол Kerberos Протокол Kerberos базируется на системе билетов, которые представляют собой пакеты зашифрованные данных , выдаваемые центром распространения ключей KDC (Key Dis tribution Center). Билет выступает в роли «паспорта» , вместе с которым передается масса секретной информации . Каждый центр распространения ключей KDC отвечает за определенную сферу (realm); в среде Windows 2000/XP отдельной сферой является каждый домен . К р оме того , каждый контроллер домена Active Directory является центром распространения ключей KDC. Когда вы входите в Windows 2000/XP, локальные средства защиты LSA (Local Security Authority) проводят проверку подлинности , предоставляя вам билет TGT (Ticket Granting Ticket – билет для получения билета ), выступающий в качестве пропуска . Затем , когда вам потребуется доступ к определенным ресурсам сети , вы представите свой билет TGT контроллеру домена и запросите билет для получения досту п а к ресурсу. Билет на доступ к определенному ресурсу также известен как билет службы ST (Service Ticket). Когда вам необходимо получить доступ к ресурсу , ваш билет службы предоставляется ресурсу . После этого вам предоставляется доступ к ресурсу , а ваши пра ва определяются списком контроля доступа ACL для этого ресурса. Протокол Kerberos – это очень быстрый протокол и идеальная среда для реализации инициативы Single SignOn (разовый вход в систему ) для проведения проверки подлинности . Механизм Single SignOn по ддерживается такими приложениями , как SQL Server 2000 и Exchange 2000, а также доверительными отношениями между областями , реализуемыми другими операционными системами и Windows 2000/XP. Протокол IPSec Протокол IPSec (Internet Protocol Security) представ ляет собой механизм защиты IP-сетей , реализованный в Windows 2000/XP для зашиты сетевого трафика . IPSec использует криптографические службы безопасности для обеспечения целостности , подлинности и конфиденциальности данных , а также защиты от повторений для трафика TCP/IP. Управление IPSec осуществляется посредством политики IPSec, для настройки и назначения которой используется инструмент «Управление политикой безопасности IP». Шифрование часто называют сквозным (end-to-end), что означает , что данные остаютс я зашифрованными до тех пор , пока не достигнут другого компьютера , только на котором они и могут быть расшифрованы . Протокол IPSec также поддерживает и шифрование с использованием открытого ключа ; генерация ключа происходит на обоих концах соединения , что избавляет от необходимости его передачи по сети. Защита локальной рабочей станции Для обеспечения безопасности компьютера необходимо организовать защиту отдельных файлов и папок и принять меры к физической защите самого компьютера . Если на компьютере име ются конфиденциальные сведения , они должны храниться в безопасном месте. Другими способами защиты компьютера являются его блокировка на время отсутствия пользователя на рабочем месте и настройка экранной заставки , защищенной паролем . Нажав одновременно кла виши CTRL, ALT и DEL, а затем кнопку Блокировка, можно предотвратить несанкционированный доступ пользователей к компьютеру . Разблокировать его сможет только владелец и члены группы администраторов компьютера . (Для разблокирования компьютера нужно нажать од новременно клавиши CTRL, ALT и DEL, ввести пароль , а затем нажать кнопку ОК .) Можно также настроить заставку таким образом , чтобы она открывалась и автоматически блокировала компьютер после того , как он простаивал в течение определенного времени. Чтобы защ итить файл с помощью пароля экранной заставки необходимо : 1. На панели управления откройте компонент «Экран» (нажмите кнопку Пуск , выберите команды Настройка и Панель управления , затем дважды щелкните значок Экран ). 2. На вкладке Заставка в списке Заставка выберите нужную экранную заставку. 3. Установите флажок Защита паролем . Если включено быстрое переключение пользователей , установите флажок При продолжении открыть окно приветствия. Если установить флажок Защита паролем , то при активизации экранной застав ки компьютер будет блокироваться . Чтобы разблокировать компьютер и продолжить работу , необходимо будет ввести пароль . Пароль заставки совпадает с паролем пользователя , вошедшего в систему на данном компьютере . Если при входе в систему пароль не использова л ся , пароль заставки установить нельзя. 7.3. Шифрование и дешифрование информации В компьютерной технике стандарт , управляющий способами шифрования данных , известен как стандарт DES (Data Encryption Standard – стандарт шифрования данных ). Алгоритмы шифр ования данных DEA (Data Encryption Algorithms) определяют , каким образом должны зашифровываться и расшифровываться данные . Спецификации DES разрабатываются и утверждаются такими организациями , как ANSI (American National Standards Institute – Национальный институт стандартизации США ) и NIST (National Institute Of Standards and Technologies – Национальный институт стандартов и технологий ). Каждый алгоритм получает определенную оценку в соответствии с его возможностями шифрования (а также стойкостью к воспро и зведению или атакам шифрующего и /или дешифрующего ключа ). Стандарт DES, т.е . алгоритм DEA, нуждается в постоянном совершенствовании , т.к . эти коды часто вскрывают специалисты в области шифрования (как в чисто научных , так и преступных целях ). Очень скоро н а смену стандарту DES придет новый стандарт AES (Advanced Encryption – расширенный стандарт шифрования ). К другим стандартам , разработанным перечисленными выше организациями , относится стандарт цифровой подписи DSS (Digital Signature Standard) и алгоритм ц ифровой подписи DSA (Digital Signature Algorithm). Шифрование данных всегда требует от пользователя необходимых усилий и для обеспечения защиты соединений . Только внедрение алгоритмов шифрования в ядро операционной системы и стандартизированные сетевые про токолы сделают шифрование и надежным , и прозрачным для пользователя . Сегодня Windows 2000/XP полностью реализует подобные возможности . Как только сетевой администратор корректно настроит шифрование в Windows 2000/XP с помощью политики безопасности , сразу ж е все пользователи смогут его использовать совершенно прозрачно для себя. Остановимся на основных понятиях криптографии . Криптография чем-то напоминает замок , так как без соответствующего ключа до зашифрованной информации просто не добраться . Ключ , или кри птографический ключ , известен только людям , отправляющим и получающим информацию . Очевидно , что , если у вас есть ключ , вы сможете расшифровать код и получить полный текст сообщения. Общие сведения о шифрованной файловой системе Шифрованная файловая систе ма (EFS) обеспечивает ядро технологии шифрования файлов , используемой для хранения шифрованных файлов на томах файловой системы NTFS. После того как файл или папка зашифрованы , с ними работают так же , как и с другими файлами или папками. Шифрование являетс я прозрачным для пользователя , зашифровавшего файл . Это означает , что перед использованием файл не нужно расшифровывать . Можно , как обычно , открыть файл и изменить его. Поскольку EFS интегрирована в файловую систему , ею легко управлять , она надежна и прозр ачна для пользователя . Это особенно удобно для защиты данных на компьютерах , которые могут оказаться уязвимыми для кражи , таких как переносные компьютеры. Использование EFS сходно с использованием разрешений для файлов и папок . Оба метода используются для ограничения доступа к данным . Злоумышленник , получивший несанкционированный физический доступ к зашифрованным файлам и папкам , не сможет их прочитать . При его попытке открыть или скопировать зашифрованный файл или папку появиться сообщение , что доступа не т . Разрешения для файлов и папок не защищают от несанкционированных физических атак. Шифрование и расшифровывание файлов выполняется установкой свойств шифрования для папок и файлов , как устанавливаются и другие атрибуты , например «только чтение» , «сжатый» или «скрытый» . Если шифруется папка , все файлы и подпапки , созданные в зашифрованной папке , автоматически шифруются . Рекомендуется использовать шифрование на уровне папки. Чтобы получить право на шифрование и расшифровку файлов : 1. Откройте проводник Windo ws. 2. В области сведений щелкните правой кнопкой мыши зашифрованный файл , который нужно изменить , и выберите команду Свойства. 3. На вкладке Общие нажмите кнопку Дополнительно. 4. В диалоговом окне Дополнительные атрибуты и нажмите кнопку Подробнее. 5. Чтобы разрешить пользователю изменить этот файл нажмите кнопку Добавить и выполните следующие действия. Для добавления пользователя , имеющих сертификат на данном компьютере , выберите сертификат и нажмите кнопку ОК . Для просмотра сертификата на данном компь ютере перед добавлением его к файлу выберите сертификат и затем нажмите кнопку Просмотр сертификата. Для добавления пользователя из Active Directory нажмите кнопку Найти пользователя и затем кнопку ОК . 6. Чтобы запретить пользователю изменять файлы , выбери те имя пользователя и нажмите кнопку Удалить. Чтобы зашифровать файл или папку : 1. Откройте проводник Windows. 2. Щелкните правой кнопкой мыши файл или папку , которые требуется зашифровать , и выберите из контекстного меню команду Свойства. 3. На вкладке Об щие нажмите кнопку Дополнительно. 4. Установите флажок Шифровать содержимое для защиты данных . Чтобы расшифровать файл или папку : 1. Откройте проводник Windows. 2. Правой кнопкой мыши щелкните зашифрованную папку или диск , затем выберите команду Свойства . 3. На вкладке Общие нажмите кнопку Дополнительно . 4. Снимите флажок Шифровать содержимое для защиты данных . Когда расшифровывается папка , система запросит подтверждение о необходимости расшифровывать также файлы и подпапки в данной папке . Если выбрано расшифровывание только папки , зашифрованные файлы и папки в расшифрованной папке остаются зашифрованными . Однако новые файлы и папки , создаваемые в расшифрованной папке , не будут зашифровываться автоматически. Секретные ключи Шифрование с использованием секретного ключа также известно как шифрование с использованием симметричного ключа (симметричное шифрование ) или как классическая криптография . При таком методе шифрования для зашифровки и расшифровки данных используется один и тот же ключ . Другими словам и , для того чтобы закрыть дверь , вы используете тот же ключ , что и для того , чтобы ее открыть. Отправитель зашифровывает сообщение с помощью ключа , а получатель расшифровывает его с помощью того же ключа . Такая схема шифрования не обеспечивает надежного ур овня безопасности , так как при развитой системе коммуникаций ключ должен быть известен многим сторонам . А как только ключ попадет в плохие руки , все старания защитить сведения окажутся тщетными . Однако он может использоваться при проверке подлинности в се т и , когда «кража» ключа маловероятна. Открытые ключи Шифрование с использованием открытого ключа подразумевает применение двух ключей . Один ключ открытый , а второй – секретный (закрытый ). При шифровании данных может использоваться любой из этих ключей , а при дешифровании – только секретный . Эта технология основана на архитектуре открытого ключа PKI (Public Key Infrastructure), поддержка которой уже реализована в Windows 2000/XP. Для получения обоих ключей используется сложный математический процесс , поэтом у они неразрывно связаны между собой . Сообщение , зашифрованное с помощью одного ключа , можно расшифровать только с помощью его пары. Например , вам необходимо отправить зашифрованное сообщение . У получателя есть открытый ключ , который он предлагает для шифр ования сообщений . Вы зашифровываете сообщение с помощью открытого ключа и отправляете его . Когда получатель получит ваше сообщение , он расшифрует его с помощью секретного ключа , математически связанного с открытым ключом . Никто , даже вы , не сможет расшифр о вать сообщение с помощью открытого ключа . Но и в этом случае следует тщательно охранять секретный ключ. Сертификаты ключей – это контейнеры открытых ключей . В них обычно содержатся открытый ключ для получателя , такой же ключ для создателя сообщения , сведен ия о времени создания ключа , а также список цифровых подписей. Сеансовые ключи Основная проблема , связанная с распространения открытых ключей , состоит в том , что алгоритмы шифрования , используемые для получения ключей , слишком медлительны для современных коммуникаций . По этой причине создается сеансовый ключ , который , в свою очередь , содержит ключ для зашифрованных данных . Шифрование данных с помощью сеансового ключа происходит в тысячи раз быстрее , чем с помощью открытого. Свойства сеансового ключа : 1. С еансовый ключ произвольным образом создается при каждом соединении , требующем шифрования . Инициатор соединения создает сеансовый ключ для одного соединения или сообщения. 2. Данные зашифровываются с помощью сеансового ключа. 3. Сеансовый ключ зашифровывает ся с помощью открытого ключа получателя . 4. Зашифрованные данные и зашифрованный сеансовый ключ отправляют получателю , который сначала расшифровывает сеансовый ключ с помощью секретного ключа , а после этого расшифровывает данные с помощью сеансового ключа. Цифровые подписи Не всегда обязательно зашифровывать сообщения , т.к . это отнимает много ресурсов компьютера . Иногда данные или содержание сообщения большой ценности не представляют . Но что делать , если кто-то перехватит сообщение и изменит его содержан ие ? Последствия могут быть непредсказуемыми. Цифровые подписи используются для проверки подлинности отправителя , связывания двух сторон при обмене данными , проверки подлинности содержания , а также подтверждения того , что данные не были изменены при передач е. Использование паролей для доступа к сетевым ресурсам Если компьютер является членом рабочей группы , но не подсоединен к домену , можно работать с сетевыми ресурсами , используя для доступа имя пользователя домена и пароль. Чтобы использовать эту возможн ость , подключитесь к сетевому ресурсу , такому как папка или файл , доступ к которому необходимо получить : 1. Откройте папку Мой компьютер . 2. В меню Сервис выберите команду Подключить сетевой диск. 3. В поле Диск введите или выберите букву диска , к которому требуется подключить общий ресурс. 4. В поле Папка введите сервер и имя общего ресурса в виде : \ имя _серверасетевое _имя . Чтобы найти ресурс , можно также нажать кнопку Обзор . 5. Нажмите кнопку Готово . 6. В диалоговом окне Имя и пароль пользователя в поле Им я пользователя введите имя пользователя в виде : доменимя _пользователя . 7. В поле Пароль введите пароль домена . Ввод имени пользователя домена и пароля является необходимым для получения доступа к сетевым ресурсам . Чтобы в дальнейшем подключаться к сетевому ресурсу без ввода имени пользователя и пароля , установите флажок Сохранить пароль . Чтобы в Windows использовать автоматическое подключение к этому сетевому ресурсу без вывода на экран диалогового окна Имя и пароль пользователя , уста новите флажок Больше не спрашивать этот пароль. 7.4. Упражнение Ознакомиться с комплексными средствами обеспечения информационной безопасности. 1. Обобщенная модель системы защиты информации При организации системы безопасности необходимо иметь в вид у , что в соответствии с общепринятой моделью системы защиты информации в качестве нарушителя рассматривается субъ ект , имеющий доступ в помещение , где находятся штатные средства автоматизированной системы (АС ) и (или ) к рабо те с этими средствами . Нарушит е лей можно классифициро вать по уровню возможностей , предоставляемых им штатными средствами АС и СВТ , а также в соответствии со способами внедрения и возможностями средств специаль ного программно-математического воздействия (СПМВ ). Классификация является и ерархической , то есть каждый следующий уровень включает в себя функциональные воз можности предыдущего. Первый уровень нарушителей определяется возможностью их доступа в помещение к средствам АС и подразумевает использование дистанционного способа внедрен ия средств защиты СПМВ (с использованием генераторов различных излучений ). Второй уровень нарушителей определяется возможностью веде ния диалога в АС в€’ запуск задач (программ ) из фиксированного набора , а также возможность дистанционного внедрения средств СПМВ. Третий уровень нарушителей определяется их возможностью со здания и запуска собственных программ с новыми функциями по обра ботке информации , то есть способом прямого внедрения программных закладок с ограниченной эффективностью применения , а также во змож ностью дистанционного внедрения средств СПМВ. Четвертый уровень нарушителей определяется их возможнос тью управления функционированием АС , то есть воздействием на базо вое программное обеспечение системы и на состав и конфигурацию оборудования , что пр едусматривает более эффективное применение средств СПМВ с помощью как прямого , так и дистанционного способа внедрения. Пятый уровень нарушителей определяется всем объемом воз можностей лиц , осуществляющих проектирование , реализацию и сопро вождение техниче ских средств АС , вплоть до внедрения в состав СВТ собственных технических и программных средств с новыми функциями по обработке информации . На этом уровне можно выделить способ за благовременного внедрения средств СПМВ в виде программных и элек тронных за к ладок , что , однако , не исключает применения прямого и дистанционного способов внедрения при реализации и обслуживании технических средств ведения системы. При классификации нарушителей предполагается , что на своем уровне нарушитель является специалистом вы с шей квалификации , обладает полными знаниями о системе и средствах ее защиты , но администратор системы защиты АС не является нарушителем. Чтобы современная модель защиты информации при ведении системы от неправомочных действий могла успешно действовать , она должна состоять , по крайней мере , из пяти основных подсистем : Управление доступом . Регистрация и учет . Криптографическая защита . Обеспечение целостности информации . Идентификация и аутентификация. Глав ным связующим звеном , организующим взаимодействие всех подчиненных подсистем , является подсистема иден тификации и аутентификации , которая становится ядром СЗИ , формирующим иерархическую централизованную структуру с обратной связью . Подчиненные подсистемы приобретают роль исполнительных механизмов подсис т емы идентификации и аутентификации. 2. Основы метода адаптивной безопасности Метод адаптивной безопасности сети предполагает ис пользование следующих компонентов : • технология анализа защищенности или поиска то чек уязвимости ; • технология обнаружения ат ак ; • адаптивный компонент , который дополняет первые две технологии ; • управляющий компонент. Сеть состоит из соединений , узлов , хостов , рабочих станций , при ложений и баз данных и все они нуждаются как в оценке эффективности их защиты , так и в поиске неи звестных точек уязвимости . Средства , реализующие технологию анализа защищенности , исследуют сеть и ищут «слабые» места в ней , обобщают эти сведения и создают по ним отчет , содержащий рекомендации по устранению найденных точек уяз вимости . Если система , ре а лизующая эту технологию , содержит и адап тивный компонент , то вместо рутинного устранения найденной точки уязвимости оно будет осуществляться автоматически. Ведущие экспер ты , областью профессиональных интересов которых являются рассмат риваемые вопросы з ащиты , обычно выделяют следующие проблемы , идентифицируемые технологией анализа защищенности : • пробелы в системах и программы типа «троянский конь» ; • недостаточная сложность паролей ; • восприимчивость к проникновению из незащищенных систем и атакам типа «отказ в обслуживании» ; • отсутствие необходимых обновлений операционных систем ; • неправильная настройка межсетевых экранов, Web -серверов и баз данных ; • наличие работающих в сети модемов. Средства анализа защищенности работают на этапе поиска пред посыл ок для атаки . Обнаруживая и вовремя устраняя точки уязвимости , они тем самым устраняют саму возможность реализации атаки , что поз воляет снизить затраты (финансовые , материальные , людские и т.д .) на эксплуатацию средств защиты . Технологии анализа защищенн о сти яв ляются действенным методом , позволяющим проанализировать и реа лизовать политику сетевой безопасности прежде , чем будет сделана по пытка ее нарушения. Обнаружение атак является процессом оценки подо зрительных действий , которые происходят в сети . О бнару жение реализуется посредством анализа или журналов ре гистрации операционной системы и прикладного про граммного обеспечения , или сетевого трафика в реальном режиме времени . Компоненты обнаружения атак , разме щенные на узлах или в сегментах сети , оц е нивают различ ные действия , в том числе и использующие известные точ ки уязвимости . Кроме того , можно заметить , что средства обнаружения атак функционируют на этапах реализации и завершения атаки . На этапе реализации атаки эти средства дополняют традицион н ые механизмы новыми функциями , повышающими защищенность сети . Системы обнаружения атак эффективно блокируют враждебные действия привиле гированных пользователей (администраторов ), дополняя возможности межсетевых экранов , защищают периметр се ти , а также е е внутренние сегменты. Использование модели адаптивной безопасности сети позволяет контролировать угрозы и своевременно реагиро вать на них высокоэффективным способом , позволяющим устранить точки уязвимости , которые могут привести к ре ализации угрозы , и проанализировать условия , приводящие к их появлению . Эта модель также позволяет уменьшить злоупотребления в сети , повысить осведомленность поль зователей , администраторов и руководства предприятия о событиях в сети. 7.5. Контрольные вопросы 1. Как обес печивается общий доступ к файлам и папкам на компьютере ? 2. Назовите стандартные механизмы обеспечения безопасности сетевых систем. 3. Как зашифровать файл или папку ? 4. Опишите алгоритм шифрования с использованием секретного ключа. 5. Опишите алгоритм ши фрования с использованием открытого ключа . Для чего используют сеансовые ключи ? 6. Какими свойствами обладает цифровая подпись ? Дисциплина «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ» 1. Понятие информационной безопасности . Цели и задачи информаци онной безопасности. 2. Классификация угроз безопасности компьютерной системы. 3. Понятие политики безопасности . Основные модели защиты. 4. Идентификация и аутентификации . Авторизация доступа . Аудит. 5. Шифрование методами подстановок , перестановок и гаммир ования. 1. Понятие информационной безопасности . Цели и задачи информационной безопасности. Информация , первоначально это сведения , передаваемые людьми устным , письменным или другим способом (с помощью условных сигналов , технических средств и т.д .); с с ередины XX века общенаучное понятие , включающее обмен сведениями между людьми , человеком и автоматом , автоматом и автоматом ; обмен сигналами в животном и растительном мире , передача признаков от клетки к клетке , от организма к организму. Сформулированные к настоящему времени строгие научные определения концентрируют внимание на одном из основных аспектов этого многозначного понятия — соотношении информации и материи. Согласно традиционной философской точке зрения , информация существует независимо от чел овека и является свойством материи . Она рассматривается , как отражение объектов материального мира , в частности , отражение организованности или упорядоченности кибернетических объектов . Согласно нетрадиционной точке зрения информация трактуется как первоо с нова микро и макромира Вселенной (информация — первична , а материя — вторична ). Она существует независимо от нас и проявляется в триедином процессе фундаментального взаимодействия энергии , движения и массы в пространстве и во времени. Под информацией над о понимать сведения , являющиеся объектом сбора (накопления ), хранения , обработки (преобразования ), непосредственного использования и передачи. Определению информации как сведений разного рода , представленных в любой форме и являющихся объектами различны х процессов , наиболее соответствует следующая узкая трактовка понятия «защита информации». В этом случае под защитой информации понимается совокупность мероприятий и действий , направленных на обеспечение ее безопасности — конфиденциальности и целостности — в процессе сбора , передачи , обработки и хранения . Это определение подразумевает тождественность понятий «защита информации» и «обеспечение безопасности информации». Безопасность информации — это свойство (состояние ) передаваемой , накапливаемой , обраба тываемой и хранимой информации , характеризующее ее степень защищенности от дестабилизирующего воздействия внешней среды (человека и природы ) и внутренних угроз , то есть ее конфиденциальность (секретность , смысловая или информационная скрытность ), сигнальн а я скрытность (энергетическая и структурная ) и целостность — устойчивость к разрушающим , имитирующим и искажающим воздействиям и помехам. Под защитой информации , в более широком смысле , понимают комплекс организационных , правовых и технических мер по пред отвращению угроз информационной безопасности и устранению их последствий. Сущность защиты информации состоит в выявлении , устранении или нейтрализации негативных источников , причин и условий воздействия на информацию . Эти источники составляют угрозу безо пасности информации . Цели и методы защиты информации (гл . II.-1., II.-2.) отражают ее сущность. В этом смысле защита информации отождествляется с процессом обеспечения информационной безопасности , как глобальной проблемы безопасного развития мировой циви лизации , государств , сообществ людей , отдельного человека , существования природы. При этом понятие информационная безопасность характеризует состояние (свойство ) информационной защищенности человека , общества , природы в условиях возможного действия угро з и достигается системой мер , направленных : - на предупреждение угроз . Предупреждение угроз — это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения ; - на выявление угроз . Выявление угроз выража ется в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению ; - на обнаружение угроз . Обнаружение имеет целью определение реальных угроз и конкретных преступных действий ; - на л окализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий ; - на ликвидацию последствий угроз и преступных действий и восстановление статус-кво. Предупреждение возможных угроз и противоправных действий может быт ь обеспечено самыми различными мерами и средствами , начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой , эшелонированной системы защиты физическими , аппаратными , программны м и и криптографическими средствами Предупреждение угроз возможно и путем получения информации о готовящихся противоправных актах , планируемых хищениях , подготовительных действиях и других элементах преступных деяний. В предупреждении угроз весьма сущес твенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников. Выявление имеет целью проведение мероприятий по сбору , накоплению и аналит ической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции. Обнаружение угроз — это действия по определению конкретных угроз и их источников , пр иносящих тот или иной вид ущерба . К таким действиям можно отнести обнаружение фактов хищения или мошенничества , а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов. Пресечение или локализация угроз — это действия , направленные на устранение действующей угрозы и конкретных преступных действий . Например , пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным система м. Ликвидация последствий имеет целью восстановление состояния, предшествовавшего наступлению угрозы . Например , возврат долгов со стороны заемщиков . Это может быть и задержание преступника с украденным имуществом , и восстановление разрушенного здания от п одрыва и др. Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить : - предотвращение разглашения и утечки конфиденциальной информации ; - воспрещение несанкционированного доступа к источникам конфиденциал ьной информации ; - сохранение целостности , полноты и доступности информации ; - соблюдение конфиденциальности информации ; - обеспечение авторских прав. Учитывая вышесказанное защиту информации можно определить как совокупность методов , средств и мер направл енных на обеспечение информационной безопасности общества , государства и личности во всех областях их жизненно важных интересов. Защищаемая информация включает сведения , составляющие государственную , коммерческую , служебную и иные охраняемые законом тай ны . Каждый вид защищаемой информации имеет свои особенности в области регламентации , организации и осуществления этой защиты. Наиболее общими признаками защиты любого вида охраняемой информации являются следующие : - защ иту информации организует и проводит собственник или владелец информации или уполномоченные им на то лица (юридические или физические ); - защитой информации собственник охраняет свои права на владение и распоряжение информацией , стремится оградить ее от не законного завладения и использования в ущерб его интересам ; - защита информации осуществляется путем проведения комплекса мер по ограничению доступа к защищаемой информации и созданию условий , исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям. Таким образом , защита информации — есть комплекс мероприятий , проводимых собственником информации , по ограждению своих прав на владение и распоряжение информацией , созданию условий , ограничива ющих ее распространение и исключающих или существенно затрудняющих несанкционированный , незаконный доступ к засекреченной информации и ее носителям. Защищаемая информация , являющаяся государственной или коммерческой тайной , как и любой другой вид информа ции , необходима для управленческой , научно-производственной и иной деятельности . В настоящее время перед защитой информации ставятся более широкие задачи : обеспечить безопасность информации . Это обусловлено рядом обстоятельств , и в первую очередь тем , что все более широкое распространение в накоплении и обработке защищаемой информации получают ЭВМ , в которых может происходить не только утечка информации , но и ее разрушение , искажение , подделка , блокирование и иные вмешательства в информацию и информационны е системы. Следовательно под защитой информации следует также понимать обеспечение безопасности информации и средств информации , в которых накапливается , обрабатывается и хранится защищаемая информация. Таким образом , защита информации — это деятельност ь собственника информации или уполномоченных им лиц по : - обеспечению своих прав на владение , распоряжение и управление защищаемой информацией ; - предотвращению утечки и утраты информации ; - сохранению полноты , достоверности , целостности защищаемой информа ции , ее массивов и программ обработки ; - сохранению конфиденциальности или секретности защищаемой информации в соответствии с правилами , установленными законодательными и другими нормативными актами. 2. Классификация угроз безопасности компьютерной системы. Угроза - это любое событие , которое потенциально может нанести вред организации путем раскрытия , модификации или разрушения информации , или отказа в обслуживании критическими сервисами . Угрозы могут быть неумышленными , такими как те , что вызываю тся ошибками человека , сбоями оборудования или программ , или стихийными бедствиями. Умышленные угрозы могут быть разделены на ряд групп - от логичных (получение чего-либо без денег ) до иррациональных (разрушение информации ). Наличие угрозы необязательно означает , что она нанесет вред . Чтобы стать риском , угроза должна использовать уязвимое место в средствах обеспечения безопасности системы и система должна быть видима из внешнего мира. Само понятие угроза в разных ситуациях зачастую трактуется по-разному. Например , для подчеркнуто открытой организации может просто не существовать угроз конфиденциальности - вся информация считается общедоступной ; однако в большинстве случаев нелегальный доступ считается серьезной опасностью. По способу воздействия на сеть : - в интерактивном режиме ; - в пакетном режиме. По используемым средствам : - стандартное программное обеспечение ; - специальное программное обеспечение. По целям угрозы : - нарушение конфиденциальности ; - нарушение целостности ; - нарушение работоспособност и. По принципу воздействия : - с использование доступа субъекта (пользователя ) к объекту (файлу , каналу ); - с использованием скрытых каналов. По характеру воздействия : - активное воздействие (нарушение правил ); - пассивное воздействие (наблюдение и анализ ). По используемой ошибке : - неадекватность политики безопасности ; - ошибки администратора ; - ошибки в алгоритмах ; - ошибки в программах. 3. Понятие политики безопасности . Основные модели защиты. Под политикой информационной безопасности (ИБ ) понимае тся совокупность документированных управленческих решений , направленных на защиту информационных ресурсов организации . Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства органи з ации. Политика ИБ является объектом стандартизации . Некоторые страны имеют национальные стандарты , определяющие основное содержание подобных документов . Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17799). В Росс ии к нормативным документам , определяющим содержание политики ИБ , относится ряд РД Гостехкомиссии . В отечественных и международные стандартах используются сходная методология , однако ряд вопросов в отечественных РД не рассмотрен или рассмотрен менее по д робно. Таким образом , при разработке политики ИБ целесообразно использовать передовые зарубежные стандарты , позволяющие разработать более качественные документы , полностью соответствующие отечественным РД. Целью разработки политики организации в области информационной безопасности является определение правильного (с точки зрения организации ) способа использования информационных ресурсов , а также разработка процедур , предотвращающих или реагирующих на нарушения режима безопасности. Основные этапы : - Раз работка концепции политики информационной безопасности - Описание границ системы и построение модели ИС с позиции безопасности - Анализ рисков : формализация системы приоритетов организации в области информационной безопасности , выявление существующих риско в и оценка их параметров - Анализ возможных вариантов контрмер и оценка их эффективности. - Выбор комплексной системы защиты на всех этапах жизненного цикла. - Формирование политики и процедур безопасности означает выработку плана действий по поддержанию р ежима информационной безопасности . Этот план содержится в следующих документах : *Концепция политики ИБ *Модель автоматизированной системы с позиции ИБ *Анализ рисков *Управление рисками * Комплексная система обеспечения ИБ Модели защиты 1. Модель дискрец ионного доступа . В рамках модели контролируется доступ субъектов к объектам . Для каждой пары субъект-объект устанавливаются операции доступа (READ, WRITE и др .). Контроль доступа осуществляется посредством механизма , который предусматривает возможность са н кционированного изменения правил разграничения доступа . Право изменять правила предоставляется выделенным субъектам. 2. Модель мандатного управления доступом Белла— Лападула . Формально записана в терминах теории отношений . Описывает механизм доступа к ресур сам системы , при этом для управления доступом используется матрица контроля доступа. 3. Модели распределенных систем (синхронные и асинхронные ). В рамках модели субъекты выполняются на нескольких устройствах обработки. 4. Модель безопасности военной систем ы передачи данных . Формально записана в терминах теории множеств . Субъекты могут выполнять специализированные операции над объектами сложной структуры . В модели присутствует администратор безопасности для управления доступом к данным и устройством глобаль н ой сети передачи данных . При этом для управления доступом используются матрицы контроля доступа. 5. Модель трансформации прав доступа . Формально записана в терминах теории множеств . В рамках модели субъекту в данный момент времени предоставляется только од но право доступа . Для управления доступом применяются функции трансформации прав доступа . Механизм изменения состояния системы основывается на применении функций трансформации состояний. 6. Схематическая модель . Формально записана в терминах теории множес тв и теории предикатов . Для управления доступом используется матрица доступа со строгой типизацией ресурсов . Для изменения прав доступа применяется аппарат копирования меток доступа. 7. Иерархическая модель . Формально записана в терминах теории предикатов. Описывает управление доступом для параллельных вычислений , при этом управление доступом основывается на вычислении предикатов. 8. Модель безопасных спецификаций . Формально описана в аксиоматике Хоара . Определяет количество информации , необходимое для раск рытия системы защиты в целом . Управление доступом осуществляется на основе классификации пользователей . Понятие механизма изменения состояния не применяется. 9. Модель информационных потоков . Формально записана в терминах теории множеств . В модели присутст вуют объекты и атрибуты , что позволяет определить информационные потоки . Управление доступом осуществляется на основе атрибутов объекта . Изменением состояния является изменение соотношения между объектами и атрибутами. 10. Вероятностные модели . В модели пр исутствуют субъекты , объекты и их вероятностные характеристики . Операции доступа также имеют вероятностные характеристики. 11. Модель элементарной защиты . Предмет защиты помещен в замкнутую и однородную защищенную оболочку , называемую преградой . Информация со временем начинает устаревать , т.е . цена ее уменьшается . За условие достаточности защиты принимается превышение затрат времени на преодоление преграды нарушителем над временем жизни информации. 12. Модель системы безопасности с полным перекрытием . Отме чается , что система безопасности должна иметь по крайней мере одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему . Модель описана в терминах теории графов . Степень обеспечения безопасности системы можно измерить , ис п ользуя лингвистические переменные . В базовой системе рассматривается набор защищаемых объектов , набор угроз , набор средств безопасности , набор уязвимых мест , набор барьеров. 13. Модель гарантированно защищенной системы обработки информации . В рамках мод ели функционирование системы описывается последовательностью доступов субъектов к объектам . Множество субъектов является подмножеством множества объектов . Из множества объектов выделено множество общих ресурсов системы , доступы к которым не могут привести к утечке информации . Все остальные объекты системы являются порожденными пользователями , каждый пользователь принадлежит множеству порожденных им объектов. 14. Субъектно-объектная модель . В рамках модели все вопросы безопасности описываются доступами субъ ектов к объектам . Выделено множество объектов и множество субъектов . Субъекты порождаются только активными компонентами (субъектами ) из объектов . С каждым субъектом связан (ассоциирован ) некоторый объект (объекты ), т.е . состояние объекта влияет на состоян и е субъекта . В модели присутствует специализированный субъект — монитор безопасности субъектов (МБС ), который контролирует порождение субъектов . Показана необходимость создания и поддержки изолированной программной среды. 4. Идентификация и аутентификации . Авторизация доступа . Аудит. Идентификация заключается в сообщении пользователем системе своего идентификатора , в то время как аутентификация — это процедура доказательства пользователем того , что он есть тот , за кого себя выдает , в частности , доказател ьство того , что именно ему принадлежит введенный им идентификатор. Аутентификация ( authentication ) предотвращает доступ к сети и компьютеру нежелательных лиц и разрешает вход для легальных пользователей . Термин «аутентификация» в переводе с латинского оз начает «установление подлинности» . Аутентификацию следует отличать от идентификации . Идентификаторы пользователей используются в системе с теми же целями , что и идентификаторы любых других объектов , файлов , процессов , структур данных , но они не связаны н е посредственно с обеспечением безопасности. В процедуре аутентификации участвуют две стороны : одна сторона доказывает свою аутентичность , предъявляя некоторые доказательства , а другая сторона — аутентификатор — проверяет эти доказательства и принимает реш ение . В качестве доказательства аутентичности используются самые разнообразные приемы : - аутентифицируемый может продемонстрировать знание некоего общего для обеих сторон секрета : слова (пароля ) или факта (даты и места события , прозвища человека и т.п .); - аутентифицируемый может продемонстрировать , что он владеет некоторым уникальным предметом (физически ключом ), в качестве которого может выступать , например , электронная магнитная карта ; - аутентифицируемый может доказать свою идентичность , используя собст венные биохарактеристики : рисунок радужной оболочки глаза или отпечатки пальцев , которые были предварительно занесены в базу данных аутентификатора. Службы аутентификации строятся на основе всех этих приемов , но чаще всего для доказательства идентичности пользователя используются пароли . Простота и логическая ясность механизмов аутентификации на основе паролей в какой-то степени компенсируют известные слабости паролей . Это , во-первых , возможность раскрытия и разгадывания паролей , а во-вторых , возможность «подслушивания» пароля путем анализа сетевого трафика . Для снижения уровня угрозы от раскрытия паролей администраторы сетей , как правило , применяют встроенные программные средства для формирования политики назначения и использования паролей : задание макси м ального и минимального сроков действия пароля , хранение списка уже использованных паролей , управление поведением системы после нескольких неудачных попыток логического входа и т.п . Перехват паролей по сети можно предупредить путем их шифрования перед пере д ачей в сеть. Легальность пользователя может устанавливаться по отношению к различным системам . Так , работая в сети , пользователь может проходить процедуру аутентификации и как локальный пользователь , который претендует на использование ресурсов только да нного компьютера , и как пользователь сети , который хочет получить доступ ко всем сетевым ресурсам . При локальной аутентификации пользователь вводит свои идентификатор и пароль , которые автономно обрабатываются операционной системой , установленной на данно м компьютере . При логическом входе в сеть данные о пользователе (идентификатор и пароль ) передаются на сервер , который хранить учетные записи обо всех пользователях сети . Многие приложения имеют свои средства определения , является ли пользователь законным. И тогда пользователю приходится проходить дополнительные этапы проверки. В качестве объектов требующих аутентификации , могут выступать не только пользователи , но и различные устройства , приложения , текстовая и другая информация . Так , например , пользовате ль , обращающийся с запросом к корпоративному серверу , должен доказать ему свою легальность , но он также должен убедиться сам , что ведет диалог с сервером своего предприятия . Другими словами , сервер и клиент должны пройти процедуру взаимной аутентификации. Здесь мы имеем дело с аутентификацией на уровне приложений . При установлении сеанса связи между двумя устройствами часто предусматриваются процедуры взаимной аутентификации на более низком , канальном уровне . Аутентификация данных означает доказательство ц е лостности этих данных , а также того , что они поступили именно от того человека , который объявил об этом . Для этого используется механизм электронной подписи. В вычислительных сетях процедуры аутентификации часто реализуются теми же программными средствам и , что и процедуры авторизации . В отличии от аутентификации , которая распознает легальных и нелегальных пользователей , система авторизации имеет дело только с легальными пользователями , которые уже успешно прошли процедуру аутентификации . Цель подсистемы а вторизации состоит в том , чтобы предоставить каждому легальному пользователю именно те виды доступа и к тем ресурсам , которые были для него определены администратором системы. Средства авторизации ( authorization ) контролируют доступ легальных пользовател ей к ресурсам системы , предоставляя каждому из них именно те права , которые ему были определены администратором . Кроме предоставления прав доступа пользователям к каталогам , файлам и принтерам система авторизации может контролировать возможность выполнени я пользователями различных системных функций , таких как локальный доступ к серверу , установка системного времени , создание резервных копий данных , выключение сервера и т.п. Система авторизации наделяет пользователя правами выполнять определенные действия на д определенными ресурсами . Для этого могут быть использованы различные формы предоставления правил доступа , которые часто делят на два класса : - избирательный доступ ; - мандатный доступ. Избирательные права доступа реализуются в операционных системах уни версального назначения . В наиболее распространенном варианте такого подхода определенные операции над определенным ресурсом разрешаются или запрещаются пользователям или группам пользователей , явно указанным своими идентификаторами . Например , пользователю, имеющему идентификатор admin , может быть разрешено выполнять операции чтения и записи по отношению к файлу win . ini . Модификацией данного способа является использование для идентификации пользователей их должностей , или факта их принадлежности к персоналу того или иного производственного подразделения , или еще каких-либо других позиционирующих характеристик . Примером такого правила может служить следующее : каталог бухгалтерской отчетности BUCH могут просматривать только работники бухгалтерии и руководители предприятия. Мандатный подход к определению прав доступа заключается в том , что вся информация делится на уровни в зависимости от степени секретности , а все пользователи также делятся на группы , образующие иерархию в соответствии с уровнем допуска к этой информации . Такой подход используется в известном делении информации на информацию для служебного пользования , «секретно» , «совершенно секретно». При этом пользователи этой информации в зависимости от определенного для них статуса получают различные фор мы допуска : первую , вторую или третью . В отличие от систем с избирательными правами доступа в системах с мандатным подходом пользователи в принципе не имеют возможности изменить уровень доступности информации . Например , пользователь более высокого уровня не может разрешить читать данные из своего файла пользователю , относящемуся к более низкому уровню . Отсюда видно , что мандатный подход является более строгим , он в корне пресекает всякий волюнтаризм со стороны пользователя . Именно поэтому он часто использ у ется в системах военного назначения. Процедуры авторизации реализуются программными средствами , которые могут быть встроены в операционную систему или в приложение , а также могут поставляться в виде отдельных программных продуктов . При этом программные с истемы авторизации могут строиться на базе двух схем : - централизованная схема авторизации , базирующаяся на сервере ; - децентрализованная схема , базирующаяся на рабочих станциях. В первой схеме сервер управляет процессом предоставления ресурсов пользоват елю . Главная цель таких систем — реализовать принцип «единого вход» . В соответствии с централизованной схемой пользователь один раз логически входит в сеть и получает на все время работы некоторый набор разрешений по доступу к ресурсам сети . Система Kerber os с ее сервером безопасности и архитектурой клиент-сервер является наиболее известной системой этого типа . Системы TACACS и RADIUS , часто применяемые с системами удаленного доступа , также реализуют этот подход. При втором подходе рабочая станция сама яв ляется защищенной — средства защиты работают на каждой машине , и сервер не требуется. В крупных сетях часто применяется комбинированный подход предоставления пользователю прав доступа к ресурсам сети : сервер удаленного доступа ограничивает доступ пользов ателя к подсетям или серверам корпоративной сети , то есть к укрупненным элементам сети , а каждый отдельный сервер сети сам по себе ограничивает доступ пользователя к своим внутренним ресурсам : разделяемым каталогам , принтерам и приложениям . Сервер удаленн о го доступа предоставляет доступ на основании имеющегося у него списка прав доступа ( Access Control List , ACL ), а каждый отдельный сервер сети предоставляет доступ к своим ресурсам на основании хранящегося у него списка прав доступа , например ACL файловой с истемы. Таким образом , системы аутентификации и авторизации совместно выполняют одну задачу , поэтому необходимо предъявлять одинаковый уровень требований к системам авторизации и аутентификации . Ненадежность одного звена здесь не может быть компенсирован а высоким качеством другого звена . Если при аутентификации используются пароли , то требуются чрезвычайные меры по их защите . Однажды украденный пароль открывает все двери ко всем приложениям и данным , к которым пользователь с этим паролем имел легальный д о ступ. Аудит ( auditing ) — фиксация в системном журнале событий , связанных с доступом к защищаемым системным ресурсам . Подсистема аудита современных ОС позволяет дифференцировано задавать перечень интересующих администратора событий с помощью удобного граф ического интерфейса . Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать важные события , связанные с безопасностью , или любые попытки создать , получить доступ или удалить системные ресурсы . Аудит используется для того , чтобы за с екать даже неудачные попытки «взлома» системы. Учет и наблюдение означает способность системы безопасности «шпионить» за выбранными объектами и их пользователями и выдавать сообщения тревоги , когда кто-нибудь пытается читать или модифицировать системный фа йл . Если кто-то пытается выполнить действия , определенные системой безопасности для отслеживания , то система аудита пишет сообщение в журнал регистрации , идентифицируя пользователя . Для «сверхбезопасных» систем предусматриваются аудио - и видеосигналы трев о ги , устанавливаемые на машинах администраторов , отвечающих за безопасность. Система аудита является последним рубежом в защите информации когда другие средства не помогли и были преодолены злоумышленником. 5. Шифрование методами подстановок , перестановок и гаммирования. Метод подстановки Шифр подстановки каждый символ открытого текста заменяет на некоторый другой . В классической криптографии различают четыре типа шифра подстановки : - Одноалфавитный шифр подстановки (шифр простой замены ) — шифр , при кото ром каждый символ открытого текста заменяется на некоторый , фиксированный при данном ключе символ того же алфавита . В шифрах простой замены замена производится только над одним единственным символом . Для наглядной демонстрации шифра простой замены достато ч но выписать под заданным алфавитом тот же алфавит но в другом порядке или например со смещением . Записанный таким образом алфавит называют алфавитом замены . Шифр простой замены легко вскрывается с помощью частотного анализа , так как не меняет частоты испо л ьзования символов в сообщении. - Однозвучный шифр подстановки похож на одноалфавитный за исключением того , что символ открытого текста может быть заменен одним из нескольких возможных символов. - Полиграммный шифр подстановки заменяет не один символ , а цел ую группу . Примеры : шифр Плейфера , шифр Хилла. - Многоалфавитный шифр подстановки состоит из нескольких шифров простой замены . Примеры : шифр Виженера , шифр Бофора , одноразовый блокнот. Метод перестановки При шифровании перестановкой символы шифруемого те кста переставляются по определенным правилам внутри шифруемого блока этого текста. Простая перестановка Выбирается размер блока шифрования в n столбцов и m строк и ключевая последовательность , которая формируется из натурального ряда чисел 1,2,...,n случай ной перестановкой. Шифрование проводится в следующем порядке : - Шифруемый текст записывается последовательными строками под числами ключевой последовательности , образуя блок шифрования размером n*m. - Зашифрованный текст выписывается колонками в порядке во зрастания номеров колонок , задаваемых ключевой последовательностью. - Заполняется новый блок и т.д. Расшифрование выполняется в следующем порядке : - Из зашифрованного текста выделяется блок символов размером n*m. Этот блок разбивается на n групп по m симв олов. - Символы записываются в те столбцы таблицы перестановки , номера которых совпадают с номерами групп в блоке . Расшифрованный текст читается по строкам таблицы перестановки. - Выделяется новый блок символов и т.д. Перестановка , усложненная по таблице При усложнении перестановки по таблицам для повышения стойкости шифра в таблицу перестановки вводятся неиспользуемые клетки таблицы . Количество и расположение неиспользуемых элементов является дополнительным ключом шифрования. При шифровании текста в неис пользуемые элементы не заносятся символы текста и в зашифрованный текст из них не записываются никакие символы - они просто пропускаются . При расшифровке символы зашифрованного текста также не заносятся в неиспользуемые элементы. Для дальнейшего увеличения криптостойкости шифра можно в процессе шифрования менять ключи , размеры таблицы перестановки , количество и расположение неиспользуемых элементов по некоторому алгоритму , причем этот алгоритм становится дополнительным ключом шифра. Перестановка , усложненна я по маршрутам Высокую стойкость шифрования можно обеспечить усложнением перестановок по маршрутам типа гамильтоновских . При этом для записи символов шифруемого текста используются вершины некоторого гиперкуба , а знаки зашифрованного текста считываются по маршрутам Гамильтона , причем используются несколько различных маршрутов . Размерность гиперкуба , количество вид выбираемых маршрутов Гамильтона составляют секретный ключ метода. Шифрование методом гаммирования Суть метода состоит в том , что символы шифр уемого текста последовательно складываются с символами некоторой специальной последовательности , называемой гаммой . Иногда такой метод представляют как наложение гаммы на исходный текст , поэтому он получил название "гаммирование ". Наложение гаммы можно осу ществить несколькими способами , например по формуле t ш = t о XOR t г , где t ш , t о , t г - ASCII коды соответственно зашифрованного символа , исходного символа и гаммы, XOR - побитовая операция "исключающее или ". Расшифрование текста проводится по той же формуле : t о = t ш XOR t г . Последовательность гаммы удобно формировать с помощью датчика псевдослучайных чисел (ПСЧ ). Стойкость гаммирования однозначно определяется длиной периода гаммы . При использовании современных ПСЧ реальным становится использование бесконечн ой гаммы , что приводит к бесконечной теоретической стойкости зашифрованного текста. Организационные основы защиты информации на предприятии Основные направления , принципы и условия организационной защиты информации Из упоминавшихся ранее средств и мет одов обеспечения информационной безопасности особо были выделены организационные , которые в совокупности с другими элементами системы защиты информации на предприятии подробно описаны в последующих главах учебника . Для наиболее полного и глубокого анализа происходящих в сфере защиты конфиденциальной информации процессов , понимание сущности планируемых и проводимых в этих целях мероприятий прежде всего необходимо рассмотреть одно из важнейших направлений защиты конфиденциальной информации — организационную з ащиту информации. Организационная защита информации является организационным началом , так называемым «ядром» в общей системе защиты конфиденциальной информации предприятия . От полноты и качества решения руководством предприятия и должностными лицами органи зационных задач зависит эффективность функционирования системы защиты информации в целом . Роль и место организационной защиты информации в общей системе мер , направленных на защиту конфиденциальной информации предприятия , определяются исключительной важно с тью принятия руководством своевременных и верных управленческих решений с учетом имеющихся в его распоряжении сил , средств , методов и способов защиты информации и на основе действующего нормативно-методического аппарата. Среди основных направлений защиты и нформации наряду с организационной выделяют правовую и инженерно-техническую защиту информации. Однако организационной защите информации среди этих направлений отводится особое место. Организационная защита информации призвана посредством выбора конкретны х сил и средств (включающие в себя правовые , инженерно-технические и инженерно-геологические ) реализовать на практике спланированные руководством предприятия меры по защите информации . Эти меры принимаются в зависимости от конкретной обстановки на предпри я тии , связанной с наличием возможных угроз , воздействующих на защищаемую информацию и ведущих к ее утечке. Роль руководства предприятия в решении задач по защите информации трудно переоценить . Основными направлениями деятельности , осуществляемой руководител ем предприятия в этой области , являются : планирование мероприятий по защите информации и персональный контроль за их выполнением , принятие решений о непосредственном доступе к конфиденциальной информации своих сотрудников и представителей других организац и й , распределение обязанностей и задач между должностными лицами и структурными подразделениями , аналитическая работа и т.д . Цель принимаемых руководством предприятия и должностными лицами организационных мер — исключение утечки информации и , таким образом, уменьшение или полное исключение возможности нанесения предприятию ущерба , к которому эта утечка может привести. Система мер по защите информации в широком смысле слова должна строиться исходя из тех начальных условий и факторов , которые , в свою очередь , определяются состоянием устремленности разведок противника либо действиями конкурента на рынке товаров и услуг , направленными на овладение информацией , подлежащей защите. Это правило действует как на государственном уровне , так и на уровне конкретного пред приятия. Используются два примерно равнозначных определения организационной зашиты информации. Организационная защита информации — составная часть системы защиты информации , определяющая и вырабатывающая порядок и правила функционирования объектов защиты и деятельности должностных лиц в целях обеспечения защиты информации. Организационная защита информации на предприятии — регламентация производственной деятельности и взаимоотношений субъектов (сотрудников предприятия ) на нормативно-правовой основе , исключа ющая или ослабляющая нанесение ущерба данному предприятию. Первое из приведенных определений в большей степени показывает сущность организационной защиты информации . Второе — раскрывает ее структуру на уровне предприятия . Вместе с тем оба определения подче ркивают важность нормативно-правового регулирования вопросов защиты информации наряду с комплексным подходом к использованию в этих целях имеющихся сил и средств . Основные направления организационной защиты информации приведены ниже. Организационная защита информации : - Организация работы с персоналом ; - Организация внутриобъектового и пропускного режимов и охраны ; - Организация работы с носителями сведений ; - Комплексное планирование мероприятий по защите информации ; - Организация аналитической работы и ко нтроля. Основные принципы организационной защиты информации : - принцип комплексного подхода — эффективное использование сил , средств , способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складывающейся ситуации и наличия факторов , ослабляющих или усиливающих угрозу защищаемой информации ; - принцип оперативности принятия управленческих решений (существенно влияет на эффективность функционирования и гибкость системы защиты информации и отражает нацеленность руководст ва и персонала предприятия на решение задач защиты информации ); - принцип персональной ответственности — наиболее эффективное распределение задач по защите информации между руководством и персоналом предприятия и определение ответственности за полноту и ка чество их выполнения. Среди основных условий организационной защиты информации можно выделить следующие : - непрерывность всестороннего анализа функционирования системы защиты информации в целях принятия своевременных мер по повышению ее эффективности ; - не укоснительное соблюдение руководством и персоналом предприятия установленных норм и правил защиты конфиденциальной информации. При соблюдении перечисленных условий обеспечивается наиболее полное и качественное решение задач по защите конфиденциальной инфор мации на предприятии. Основные подходы и требования к организации системы защиты информации Успешное решение комплекса задач по защите информации не может быть достигнуто без создания единой основы , так называемого «активного кулака» предприятия , способног о концентрировать все усилия и имеющиеся ресурсы для исключения утечки конфиденциальной информации и недопущения возможности нанесения ущерба предприятию . Таким «кулаком» призвана стать система защиты информации на предприятии , создаваемая на соответствую щ ей нормативно-методической основе и отражающая все направления и специфику деятельности данного предприятия. Под системой защиты информации понимают сов окупность органов защиты информации (структурных подразделений или должностных лиц предприятия ), используемых ими средств и методов защиты информации , а также мероприятий , планируемых и проводимых в этих целях. Для решения организационных задач по созданию и обеспечению функционирования системы защиты информации используются несколько основных подходов , которые вырабатываются на основе существующей нормативно-правовой базы и с учетом методических разработок по тем или иным направлениям защиты конфиденциаль н ой информации. Один из основных подходов к созданию системы защиты информации заключается во всестороннем анализе состояния защищенности информационных ресурсов предприятия с учетом устремленности конкурирующих организаций к овладению конфиденциальной инфо рмацией и , тем самым , нанесению ущерба предприятию . Важным элементом анализа является работа по определению перечня защищаемых информационных ресурсов с учетом особенностей их расположения (размещения ) и доступа к ним различных категорий сотрудников (рабо т ников других предприятий ). Работу по проведению такого анализа непосредственно возглавляет руководитель предприятия и его заместители по направлениям деятельности . Изучение защищенности информационных ресурсов основывается на положительном и отрицательном опыте работы предприятия , накопленном в течение последних нескольких лет , а также на деловых связях и контактах предприятия с организациями , осуществляющими аналогичные виды деятельности. При создании системы защиты информации , в первую очередь , учитываются наиболее важные , приоритетные направления деятельности предприятия , требующие особого внимания . Предпочтение также отдается новым , перспективным напра влениям деятельности предприятия , которые связаны с научными исследованиями , новейшими технологиями , формирующими интеллектуальную собственность , а также развивающимся международным связям . В соответствии с названными приоритетами формируется перечень воз м ожных угроз информации , подлежащей защите , и определяются конкретные силы , средства , способы и методы ее защиты. К организации системы защиты информации с позиции системного подхода выдвигается ряд требований , определяющих ее целостность , стройность и эффе ктивность. Система защиты информации должна быть : - централизованной — обеспечивающей эффективное управление системой со стороны руководителя и должностных лиц , отвечающих за различные направления деятельности предприятия ; - плановой — объединяющей усилия различных должностных лиц и структурных подразделений для выполнения стоящих перед предприятием задач в области защиты информации ; - конкретной и целенаправленной — рассчитанной на защиту абсолютно конкретных информационных ресурсов , представляющих интерес для конкурирующих организаций ; - активной — обеспечивающей защиту информации с достаточной степенью настойчивости и возможностью концентрации усилий на наиболее важных направлениях деятельности предприятия ; - надежной и универсальной — охватывающей всю де ятельность предприятия , связанную с созданием и обменом информацией. Основные методы , силы и средства , используемые для организации защиты информации Один из важнейших факторов , влияющих на эффективность системы защиты конфиденциальной информации , — совок упность сил и средств предприятия , используемых для организации защиты информации. Силы и средства различных предприятий отличаются по структуре , характеру и порядку использования . Предприятия , работающие с конфиденциальной информацией и решающие задачи п о ее защите в рамках повседневной деятельности на постоянной основе , вынуждены с этой целью создавать самостоятельные структурные подразделения и использовать высокоэффективные средства защиты информации . Если предприятия лишь эпизодически работают с конф и денциальной информацией в силу ее небольших объемов , вместо создания подразделений они могут включать в свои штаты отдельные должности специалистов по защите информации . Данные подразделения и должности являются органами защиты информации. Предприятия , ра ботающие с незначительными объемами конфиденциальной информации , могут на договорной основе использовать потенциал более крупных предприятий , имеющих необходимое количество квалифицированных сотрудников , высокоэффективные средства защиты информации , а так ж е большой опыт практической работы в данной области. Ведущую роль в организации защиты информации на предприятии играют руководитель предприятия , а также его заместитель , непосредственно возглавляющий эту работу. Руководитель предприятия несет персональну ю ответственность за организацию и проведение необходимых мероприятий , направленных на исключение утечки сведений , отнесенных к конфиденциальной информации , и утрат носителей информации . Он обязан : - знать фактическое состояние дел в области защиты информа ции , организовывать постоянную работу по выявлению и закрытию возможных каналов утечки конфиденциальной информации ; - определять обязанности и задачи должностным лицам и структурным подразделениям предприятия в этой области ; - проявлять высокую требователь ность к персоналу предприятия в вопросах сохранности конфиденциальной информации ; - оценивать деятельность должностных лиц и эффективность мероприятий по защите информации. Заместитель руководителя предприятия обязан постоянно изучать все стороны и направл ения деятельности предприятия для принятия своевременных мер по защите информации ; руководить работой службы безопасности (иных структурных подразделений , решающих задачи по защите информации ); выполнять другие функции по организации защиты информации в х о де проведения предприятием всех видов работ . Более подробно обязанности руководителя предприятия и его заместителя , отвечающего за защиту информации , рассмотрены в других статьях. На предприятиях для организации работ по защите информации могут создаваться следующие основные виды структурных подразделений : · режимно-секретные ; · подразделения по технической защите информации и противодействию иностранным техническим разведкам ; · подразделения криптографической защиты информации ; мобилизационные ; · подраздел ения охраны и пропускного режима. Функции , возлагаемые на перечисленные подразделения , определяются решением (приказом ) руководителя предприятия и отражаются в соответствующих положениях. По решению руководителя предприятия данные подразделения организаци онно могут объединяться в службу безопасности , руководитель которой в некоторых случаях может быть наделен статусом заместителя руководителя предприятия и полномочиями должностного лица , осуществляющего руководство работой структурных подразделений предпр и ятия , деятельность которых связана с использованием и защитой информации. Режимно-секретное подразделение , мобилизационное подразделение и подразделение по технической защите информации и противодействию иностранным техническим разведкам создаются на пред приятиях , выполняющих работы с использованием сведений , составляющих государственную тайну (вне зависимости от наличия на предприятии иной информации с ограниченным доступом ). Режимно-секретное подразделение является основным структурным подразделением пр едприятия и решает задачи организации , координации и контроля деятельности других структурных подразделений (персонала предприятия ) по обеспечению защиты сведений , составляющих государственную тайну . На предприятиях , не выполняющих работы со сведениями , с о ставляющими государственную тайну , для решения аналогичных задач в отношении других видов информации с ограниченным доступом создается и функционирует служба безопасности (служба защиты информации ). Подразделение по технической защите информации и противо действию иностранным техническим разведкам решает задачи организации и проведения комплекса технических мероприятий , направленных на исключение или существенное затруднение добывания иностранными разведками с помощью технических средств сведений , отнесенн ы х к конфиденциальной информации и подлежащих защите. Подразделение криптографической защиты информации создается в целях предотвращения утечки конфиденциальной информации при ее передаче по открытым каналам (линиям ) связи с помощью технических средств , а т акже при использовании локальных вычислительных сетей , имеющих выход за пределы территории предприятия. Подразделение охраны и пропускного режима создается в целях предотвращения несанкционированного (бесконтрольного ) пребывания на территории и объектах п редприятия посторонних лиц и транспорта , нанесения ущерба предприятию путем краж (хищений ) с территории предприятия материальных средств и иного имущества . В некоторых случаях для решения задач охраны и пропускного режима на предприятиях могут создаваться отдельные самостоятельные подразделения. Мобилизационное подразделение решает задачи всесторонней подготовки предприятия к работе в условиях военного времени , призыва и поступления мобилизационных людских и материальных ресурсов. Кроме перечисленных подр азделений предприятия к работе по организации защиты информации могут привлекаться и иные структурные подразделения , для которых выполнение мероприятий по защите информации не является основной функцией. К таким подразделениям относятся кадровый орган , ор ган юридической службы (юрисконсульт ), орган психологической и воспитательной работы , пресс-служба предприятия и др . Особо необходимо отметить важность участия в организации защиты информации производственных , так называемых «тематических» структурных под р азделений (отдельных должностных лиц ), которые создают продукцию и товары или оказывают услуги (например , производство стрейч пленки ), и в связи с этим самым непосредственным образом взаимодействуют с другими предприятиями и органами государственной власт и. Для проведения работ по организации защиты информации используются также возможности различных нештатных подразделений предприятия , в том числе коллегиальных органов (комиссий ), создаваемых для решения специфических задач в этой области . В их числе — пос тоянно действующая техническая комиссия , экспертная комиссия , комиссия по рассекречиванию носителей конфиденциальной информации , комиссия по категорированию объектов информатизации и др . Функции , возлагаемые на данные комиссии , рассмотрены в других статья х. Чтобы добиться максимальной эффективности при решении задач защиты информации , наряду с возможностями упомянутых штатных и нештатных подразделений (должностных лиц ) необходимо использовать имеющиеся на предприятии средства защиты информации. Под средст вами защиты информации понимают технические , криптографические , программные и другие средства и системы , разработанные и предназначенные для защиты конфиденциальной информации , а также средства , устройства и системы контроля эффективности защиты информаци и. Технические средства защиты информации — устройства (приборы ), предназначенные для обеспечения защиты информации , исключения ее утечки , создания помех (препятствий ) техническим средствам доступа к информации , подлежащей защите. Криптографические средст ва защиты информации — средства (устройства ), обеспечивающие защиту конфиденциальной информации путем ее криптографического преобразования (шифрования ). Программные средства защиты информации — системы защиты средств автоматизации (персональных электронно -вычислительных машин и их комплексов ) от внешнего (постороннего ) воздействия или вторжения. ффективное решение задач организации защиты информации невозможно без применения комплекса имеющихся в распоряжении руководителя предприятия соответствующих сил и средств . Вместе с тем определяющую роль в вопросах организации защиты информации , применения в этих целях сил и средств предприятия играют методы защиты информации , определяющие порядок , алгоритм и особенности использования данных сил и средств в конкретн о й ситуации. Методы защиты информации — применяемые в целях исключения утечки информации универсальные и специфические способы использования имеющихся сил и средств (приемы , меры , мероприятия ), учитывающие специфику деятельности по защите информации. Общи е методы защиты информации подразделяются на правовые , организационные , технические и экономические. Методы защиты информации с точки зрения их теоретической основы и практического использования взаимосвязаны . Правовые методы регламентируют и всесторонне нормативно регулируют деятельность по защите информации , выделяя , прежде всего , ее организационные направления . Тесную связь организационных и правовых методов защиты информации можно показать на примере решения задач по исключению утечки конфиденциальной информации , в частности относящейся к коммерческой тайне предприятия , при его взаимодействии с различными государственными и территориальными инспекторскими и надзорными органами . Эти органы в соответствии с предоставленными им законом полномочиями осущес т вляют деятельность по получению (истребованию ), обработке и хранению информации о предприятиях и гражданах (являющихся их сотрудниками ). Передача информации , в установленном порядке отнесенной к коммерческой тайне или содержащей персональные данные работни ка предприятия , должна осуществляться на основе договора , предусматривающего взаимные обязательства сторон по нераспространению (неразглашению ) этой информации , а также необходимые меры по ее защите. Организационные механизмы защиты информации определяют п орядок и условия комплексного использования имеющихся сил и средств , эффективность которого зависит от применяемых методов технического и экономического характера. Технические методы защиты информации , используемые в комплексе с организационными методами , играют большую роль в обеспечении защиты информации при ее хранении , накоплении и обработке с использованием средств автоматизации . Технические методы необходимы для эффективного применения имеющихся в распоряжении предприятия средств защиты информации , о с нованных на новых информационных технологиях. Среди перечисленных методов защиты информации особо выделяются организационные методы , направленные на решение следующих задач : · реализация на предприятии эффективного механизма управления , обеспечивающего защ иту конфиденциальной информации и недопущение ее утечки ; · осуществление принципа персональной ответственности руководителей подразделений и персонала предприятия за защиту конфиденциальной информации ; · определение перечней сведений , относимых на предприя тии к различным категориям (видам ) конфиденциальной информации ; ограничение круга лиц , имеющих право доступа к различным видам информации в зависимости от степени ее конфиденциальности ; подбор и изучение лиц , назначаемых на должности , связанные с конфиденц иальной информацией , обучение и воспитание персонала предприятия , допущенного к конфиденциальной информации ; организация и ведение конфиденциального делопроизводства ; осуществление систематического контроля за соблюдением установленных требований по защите информации. Приведенный перечень организационных методов не является исчерпывающим и , в зависимости от специфики деятельности предприятия , степени конфиденциальности используемой информации , объема выполняемых работ , а также опыта работы в области защиты информации , может быть дополнен иными методами. Организация защиты информации при проведении совещаний Планирование мероприятий по защите информации при подготовке к проведению совещания В ходе повседневной деятельности предприятий , связанной с использо ванием конфиденциальной информации , планируются и проводятся служебные совещания , на которых рассматриваются или обсуждаются вопросы конфиденциального характера . Прелатом обсуждения могут быть сведения , составляющие государственную тайну , вопросы конфиден ц иального характера , касаются проводимых предприятием научно-исследовательских , опытно-конструкторских и иных работ , предусмотренных его уставом , или коммерческой стороны его деятельности. Перечисленные мероприятия могут быть внешними (с участием представи телей сторонних организаций ) или внутренними (к участию в них привлекается только персонал данного предприятия ). Решение о проведении совещания во всех случаях принимает непосредственно руководитель предприятия или его заместитель ходатайству руководителя структурного подразделения (отдела , службы ), планирующего проведение данного совещания . Меры по защите конфиденциальной информации в ходе подготовки и доведения совещания , принимаемые руководством предприятия (структурным подразделением , организующим сове щ ание ), должны быть как организационными , так и организационно-техническими. Мероприятия по защите информации проводятся при подготовке , в ходе проведения и по окончании совещания . В работе руководства и должностных лиц предприятия по защите информации при проведении совещания важное место занимает этап планирования конкретных мероприятий , направлениях на исключение утечки конфиденциальной информации и на ее защиту. В целях наиболее эффективного решения задач защиты информации в разрабатываемых организацион но-планирующих документах комплексно учитываются все мероприятия , независимо от их содержания и направленности (организационные , организационно-технические или иные мероприятия ). Поскольку эти мероприятия должны быть увязаны между собой по времени и месту проведения , в данной статье они рассматриваются как единое целое. Планирование мероприятий по защите информации проводится заблаговременно до начала совещания и включает выработку конкретных мер , определение ответственных за их реализацию должностных лиц (структурных подразделений ), а также сроков их осуществления . При планировании совещания предусматривается такая очередность рассмотрения вопросов , при которой будет исключено участие в их обсуждении лиц , не имеющих к ним прямого отношения. Наиболее актуа льны с точки зрения защиты информации совещания с участием представителей сторонних организаций (внешние совещания ), так как вероятность утечки конфиденциальной информации при их проведении по сравнению с совещаниями , проводимыми в рамках одного предприят и я (внутренними совещаниями ), значительно выше . Поэтому внешним совещаниям в настоящей главе уделено особое внимание. Работу по планированию мероприятий в области защиты информации , проводимых в ходе совещания с участием представителей сторонних организаци й , возглавляет руководитель предприятия , непосредственное участие в планировании принимает заместитель , в ведении которого находятся вопросы защиты информации на предприятии. На заместителя руководителя предприятия также возлагается общая координация выпол нения спланированных мероприятий . При отсутствии в структуре предприятия данного должностного лица , указанные задачи возлагаются на руководителя режимно-секретного подразделения (руководителя службы безопасности ). План мероприятий по защите информации при проведении совещания с участием представителей сторонних организаций содержит следующие основные разделы. 1. Определение состава участников и их оповещение — порядок формирования списка лиц , привлекаемых к участию в совещании , и перечня предприятий , кото рым необходимо направить запросы с приглашениями ; порядок подготовки и направления таких запросов , формирования их содержания. 2. Подготовка служебных помещений , в которых планируется проведение совещания , — работа по выбору служебных помещений и проверке их соответствия требованиям по защите информации ; необходимость и целесообразность принятия дополнительных организационно-технических мер , направленных на исключение утечки информации ; оборудование рабочих мест участников совещания , в том числе средствами автоматизации , на которых разрешена обработка конфиденциальной информации ; порядок использования средств звукоусиления , кино - и видеоаппаратуры. 3. Определение объема обсуждаемой информации — порядок определения перечня вопросов , выносимых на совещание , и очередности их рассмотрения , оценки степени их конфиденциальности ; выделение вопросов , к которым допускается узкий круг лиц , участвующих в совещании. 4. Организация пропускного режима на территории и в служебных помещениях , в которых проводится совещание — виды пропусков и проставляемых на них условных знаков или шифров для прохода в конкретные служебные помещения ; порядок их учета , хранения , выдачи и выведения из действия , сроки уничтожения ; жим прохода , посещения и пребывания в помещениях участников в с овещания ; количество и регламент работы основных и дополнительных контрольно-пропускных пунктов для прохода участников совещания на территорию и в служебные помещения. 5. Организация допуска участников совещания к рассматриваемым вопросам — мероприятия , к асающиеся непосредственного доска участников к вопросам , выносимым на совещание , с учетом порядка их обсуждения и степени конфиденциальности информации , к которой допущен каждый участник совещания. 6. Осуществление записи (стенограммы ), фото -, кино -, виде осъемки совещания — порядок и возможные способы записи , съемки , стенографирования хода совещания и обсуждаемых вопросов с учетом их конфиденциальности ; должностные лица или подразделения , отвечающие за техническое обеспечение данных процессов. На заместите ля руководителя предприятия также возлагается общая координация выполнения спланированных мероприятий . При отсутствии в структуре предприятия данного должностного лица , указанные задачи возлагаются на руководителя режимно-секретного подразделения (руковод и теля службы безопасности ). План мероприятий по защите информации при проведении совещания с участием представителей сторонних организаций содержит следующие основные разделы. Определение состава участников и их оповещение — порядок формирования списка ли ц , привлекаемых к участию в совещании , и перечня предприятий , которым необходимо направить запросы с приглашениями ; порядок подготовки и направления таких запросов , формирования их содержания. Подготовка служебных помещений , в которых планируется проведени е совещания , — работа по выбору служебных помещений и проверке их соответствия требованиям по защите информации ; необходимость и целесообразность принятия дополнительных организационно-технических мер , направленных на исключение утечки информации ; оборудо в ание рабочих мест участников совещания , в том числе средствами автоматизации , на которых разрешена обработка конфиденциальной информации ; порядок использования средств звукоусиления , кино - и видеоаппаратуры. Определение объема обсуждаемой информации — поря док определения перечня вопросов , выносимых на совещание , и очередности их рассмотрения , оценки степени их конфиденциальности ; выделение вопросов , к которым допускается узкий круг лиц , участвующих в совещании. 7. Меры по защите информации непосредственно п ри проведении совещания — порядок и способы охраны служебных помещений , меры по исключению проникновения в них посторонних лиц , а также участников совещания , не участвующих в рассмотрении конкретных вопросов ; мероприятия по предотвращению утечки информаци и по техническим каналам , силы и средства , задействованные при проведении этих мероприятий ; конкретные меры , исключающие визуальный просмотр и прослушивание ведущихся переговоров и обсуждения участниками совещания вопросов конфиденциального характера. 8. Ор ганизация учета , хранения , выдачи и рассылки материалов совещания — порядок учета , хранения , размножения , выдачи , рассылки и уничтожения материалов совещания , а также рабочих тетрадей или блокнотов , предназначенных для записи обсуждаемых участниками совещ а ния вопросов ; порядок обращения с данными носителями информации непосредственно в ходе совещания и после его окончания . Особое внимание уделяется порядку учета , хранения , размножения и использования материалов совещания , зафиксированных на магнитных носит е лях (исполненных в электронном виде ). 9. Оформление документов лиц , принимавших участие в совещании , — порядок и сроки оформления документов , подтверждающих право доступа участников совещания к конфиденциальной информации , предписаний или доверенностей на участие в совещании , командировочных удостоверений и иных документов командированных для участия в совещании лиц. 10. Проверка и обследование места проведения совещания поел его окончания — мероприятия по организации и проведению визуальной проверки , а т акже проверки с использованием специальных технических средств помещений , в которых проводилось совещание , в целях выявления забытых участниками совещаний технических устройств , носителей конфиденциальной информации и личных вещей. 11. Организация контрол я за выполнением требований по защите информации — порядок , способы и методы контроля полноты и качества проводимых мероприятий , направленных на предотвращение утечки и разглашения конфиденциальной информации , утрат хищений носителей информации ; структурн ы е подразделения или должностные лица , отвечающие за осуществление контроля ; порядок и сроки представления ответственными должностными лицам докладов о наличии носителей конфиденциальной информации выявленных нарушениях в работе по защите информации. В план е также указываются время и место проведения совещания , состав участников , перечень предприятий , участвующих совещании . Для каждого мероприятия , включаемого в план , определяют срок (время ) его проведения и ответственное за его выполнение должностное лицо ( подразделение ). Внутренние совещания (без приглашения представителей сторонних организаций ) могут проводиться без непосредственного участия режимно-секретного подразделения (службы безопасности ). В этих случаях ответственность за планирование и проведение мероприятий по исключению утечки конфиденциальной информации и по ее защите возлагается на руководителя структурного подразделения предприятия , организующего совещание. Непосредственную разработку плана подготовки и проведение внутреннего совещания осуще ствляет организующее его структурное подразделение предприятия . В этом подразделении назначается должностное лицо , отвечающее за разработку плана , его согласование с другими заинтересованными подразделениями предприятия , режимно-секретным подразделением ( с лужбой безопасности ) и представление в установленном порядке на утверждение руководителю предприятия (его заместителю ). В план наряду с мероприятиями , направленными на реализацию основных целей совещания , включаются отдельные мероприятия по защите информа ции . Их объем и количество зависят от степени секретности (конфиденциальности ) рассматриваемых вопросов (тематик ), круга привлекаемых сотрудников предприятия , ходимости использования технических средств для демонстрации фильмов (слайдов , видеороликов и т. п .) и от иных факторов. После утверждения плана руководством предприятия он под писку доводится до сведения всех заинтересованных должностных лиц (руководителей подразделений и ответственных за выполнение отдельных мероприятий плана ) в части , касающейся дан ных должностных лиц . Контроль за выполнением мероприятий плана , направленных на защиту информации , осуществляется режимно-секретным подразделением (службой безопасности ) предприятия. Организация допуска участников совещания обсуждаемым вопросам . Подготовка места проведения совещания. При обсуждении вопросов конфиденциального характера или пользовании конфиденциальной информации в ходе совещания руководство предприятия-организатора осуществляет комплекс мероприятий , направленных на исключение ознакомления ко нфиденциальной информацией посторонних лиц , в том числе сотрудников фирм-конкурентов . На совещание приглашаются работники , имеющие непосредственное отношение к рассматриваемым вопросам. Если в ходе совещания используются сведения , составляющие государствен ную тайну , его участники должны иметь допуск к ним сведениям по соответствующей форме . При рассмотрении вопросов , отнесенных к иным видам конфиденциальной информации , участники совещания должны иметь оформленное в уставленном порядке решение руководителя п редприятия о допуск данной категории (данному виду ) информации. При последовательном рассмотрении вопросов , имеющих различную степень конфиденциальности , к участию в совещании по каждому из рассматриваемых вопросов допускаются лица , имеющие к этому вопросу непосредственное отношение. Должностное лицо , ответственное за проведение совещания , указанию руководителя предприятия (руководителя подразделения , организующего совещание ) формирует список лиц , участвующих в совещании . Список составляется на основании пи сьменных обращений руководителей предприятий , приглашенных участвовать в совещании , и решений руководителей подразделений предприятия-организатора о привлечении к участию в совещании сотрудников этих подразделений. В списке указывают фамилию , имя , отчеств о каждого участника , его место работы и должность , номер допуска к сведениям составляющим государственную тайну , или номер решения рук водителя о допуске к иной конфиденциальной информации , и мера вопросов совещания , к обсуждению которых допущен участник. При необходимости в списке могут указываться и другие сведения. Подготовленный список участников согласовывается с режимно-секретным подразделением (службой безопасности ) предприятия-организатора совещания и утверждается руководителе этого предприятия , да вшим разрешение на проведение совещания . Включенные в список участники совещания проходят в служебные помещения , в которых оно проводится , предъявляя сотрудникам службы охраны (службы безопасности ) документ , удостоверяющий личность . Проход участников сове щ ания в эти помещения может быть организован по пропускам , выдаваемы им исключительно на период проведения совещания и отличающимся от других используемых предприятием-организатором пропусков . Участники совещания имеют право посещения только тех служебных п омещений , в которых будут обсуждаться вопросы , к которым эти участники имеют непосредственное отношение. Проверку документов , подтверждающих наличие у участников совещания допуска к сведениям , составляющим государственную тайну , и разрешений на ознакомлени е с конфиденциальной информацией осуществляет служба безопасности (режимно-секретное подразделение ) предприятия-организатора совещания. Совещания проводятся в служебных помещениях , в которых установленном порядке разрешено обсуждение вопросов конфиденциал ьного характера и выполнены предусмотренные нормативными правовыми актами необходимые организационно-технические мероприятия , предотвращающие утечку защищаемой информации по техническим каналам. В ходе проведения совещания разрешается использование фото-, кино -, видео - и звукозаписывающей аппаратуры , защита которой обеспечивается в соответствии с требованиями по технической защите информации и противодействию иностранным техническим разведкам. Проверка служебных помещений на предмет возможности обсуждения в них вопросов конфиденциального характера проводится накануне совещания специально назначаемой комиссией , состоящей из специалистов по технической защите информации и противодействию иностранным техническим разведкам и соответствующих подразделений пред п риятия-организатора. Порядок проведения совещания и использования его материалов В ходе совещания , в том числе и во время перерывов , сотрудник , ответственный за его проведение , совместно со службой безопасности (режимно-секретным подразделением ) осуществл яет необходимые организационные мероприятия , направленные на исключение утечки конфиденциальной информации. Во время перерывов в совещании , а также после завершения обсуждения одного вопроса и перехода к обсуждению следующего , сотрудники службы безопаснос ти (службы охраны ) организуют контроль посещения служебных помещений , в которых проводится совещание , его участниками в соответствии с утвержденным списком. На все время проведения совещания запрещается пронос в служебные помещения , в которых оно проводит ся , индивидуальных видео - и звукозаписывающих устройств , а также средств связи (в том числе мобильных телефонов и приемников персонального вызова ). В целях обеспечения их сохранности организуется камера хранения личных вещей участников совещания. Звуко - и видеозапись , а также кино - и видеосъемка хода совещания проводятся с разрешения руководителя предприятия — организатора совещания только на учтенных в режимно-секретном подразделении (службе безопасности ) носителях (не стоит переусердствовать , для видеос ъ емки совсем не нужен профессиональный видеооператор , достаточно поставить миникамеру ). При этом должны соблюдаться требования по защите информации. Независимо от степени конфиденциальности рассматриваемых на совещании вопросов , участникам совещания не раз решается : информировать о факте , месте , времени проведения совещания , повестке дня , рассматриваемых вопросах и ходе их обсуждения любых лиц , не принимающих участия в совещании и не имеющих к нему непосредственного отношения ; Непосредственно перед началом совещания его руководитель или должностное лицо , ответственное за его проведение , обязаны проинформировать участников совещания о степени конфиденциальности обсуждаемых вопросов. в ходе совещания производить выписки из документов и иных носителей конфиден циальной информации , используемых при обсуждении , на неучтенные в установленном порядке носители (отдельные листы бумаги и т.п .); обсуждать вопросы , вынесенные на совещание , в местах общего пользования во время перерывов в совещании и после его завершения ; в ходе проведения совещания расширять объем конфиденциальной информации , используемой в выступлениях , а также при обмене мнениями и обсуждении рассматриваемых вопросов. Носители конфиденциальной информации , содержащие материалы совещания , выдаются режимно -секретным подразделением (службой безопасности ) участникам совещания под расписку , а после окончания совещания возвращаются . Контроль своевременного возврата этих носителей осуществляют сотрудники указанных подразделений. Для записи хода совещания и обсу ждаемых вопросов его участникам в установленном порядке выдаются рабочие тетради или рабочие блокноты , учтенные в службе безопасности (режимно-секретном подразделении ) и имеющие соответствующий гриф секретности (конфиденциальности ). Эти рабочие тетради (б л окноты ) по окончании совещания возвращаются в режимно-секретное подразделение (службу безопасности ). При необходимости они могут быть секретной (конфиденциальной ) почтой направлены для дальнейшего хранения и использования в организации , представители кото р ых производили в них записи на совещании. Итоговые документы совещания , а также материалы выступлений участников , в том числе и оформленные в электронном виде , в установленном порядке высылаются в организации , направлявшие на совещание своих представителе й , а также в вышестоящие органы государственной власти (организации ). Перечень организаций , которым необходимо направить материалы совещания , определяет руководитель предприятия-организатора . В необходимых случаях этот перечень согласовывается с руководите лями организаций , представители которых принимали участие в совещании. Лицам , принимавшим участие в совещании , без письменного разрешения предприятия — организатора совещания запрещается использовать материалы совещания и его результаты при взаимодействии (проведении работ , переписке ) с организациями , представители которых на него не приглашались. Службой безопасности предприятия (режимно-секретным подразделением ) проводится постоянный анализ возможных каналов утечки конфиденциальной информации при провед ении совещаний на территории предприятия и , по решению руководителя предприятия (его заместителя ), принимаются дополнительные меры , направленные на повышение эффективности защиты информации. Планирование мероприятий по организационной защите информации на предприятии Основные цели планирования Одно из наиболее важных направлений деятельности предприятия , осуществляющего работу со сведениями конфиденциального характера , — планирование мероприятий по защите конфиденциальной информации . Планирование указанных мероприятий занимает особое место в системе управления деятельностью как предприятия в целом , так и его структурных подразделений (отдельных должностных лиц ). Трудно также переоценить значение этого направления в общей системе организационных мер обеспече н ия информационной безопасности предприятия. Основными целями планирования мероприятий по защите информации являются : · организация проведения комплекса мероприятий по защите конфиденциальной информации , направленных на исключение возможных каналов утечки э той информации ; · установление персональной ответственности всех должностных лиц предприятия за решение вопросов защиты информации в ходе производственной и иной деятельности предприятия ; · определение сроков (времени , периода ) проведения конкретных меропр иятий по защите информации ; · систематизация (объединение ) всех проводимых на плановой основе мероприятий по различным направлениям защиты конфиденциальной информации ; · установление системы контроля за обеспечением защиты информации на предприятии , а такж е системы отчетности о выполнении конкретных мероприятий ; · уточнение (конкретизация ) функций и задач , решаемых отдельными должностными лицами и структурными подразделениями предприятия. Основой для планирования мероприятий по защите информации на предприятии служат : · требования законодательных и иных нормативных правовых актов по защите конфиденциальной информации , соответствующих нормативно-методических докуме нтов федерального органа исполнительной власти (при наличии ведомственной принадлежности ), вышестоящей организации , а при планировании мероприятий по защите информации филиалом или представительством предприятия — указания головного предприятия ; · требован ия заказчиков проводимых предприятием в рамках соответствующих договоров (контрактов ) совместных и других работ ; · положения международных договоров (соглашений ) и иных документов , определяющих участие предприятия в тех или иных формах международного сотру дничества ; · положения внутренних организационно-распорядительных документов предприятия (приказов , директив , положений , инструкций ), определяющих порядок ведения производственной и иной деятельности , а также конкретизирующих вопросы защиты конфиденциально й информации на предприятии ; · результаты комплексного анализа состояния дел в области защиты информации , проводимого службой безопасности (режимно-секретным подразделением ) на основании материалов проверок структурных подразделений (филиалов , представител ьств ) предприятия ; · результаты проверок состояния защиты информации , проведенных вышестоящими организации , федеральными органами исполнительной власти (при наличии ведомственной принадлежности ) и заказчиками работ (в рамках выполняемых договоров или контр актов ), выработанные на основании этих результатов предложения и рекомендации ; · результаты контроля за состоянием защиты информации , проводимого органами безопасности и иными контролирующими органами (в части , их касающейся ); · особенности повседневной де ятельности предприятия и специфика выполнения на предприятии работ с использованием различных видов конфиденциальной информации. Планирование мероприятий по защите конфиденциальной информации проводится одновременно с планированием основной производственно й и иной деятельности предприятия . Планирование может осуществляться на календарный год , календарный месяц , неделю , а также на иной определенный срок , обусловленный проведением важных мероприятий (работ ) по видам деятельности предприятия , если они связаны с вопросами конфиденциального характера . Планы мероприятий , разрабатываемые на срок более одного календарного года , относятся , как правило , к стратегическому планированию , остальные планы решают тактические задачи. В целях эффективного решения задач по защ ите конфиденциальной информации в рамках наиболее важных и масштабных работ , а также в ходе реализации на предприятии федеральных целевых , государственных , ведомственных и других программ могут разрабатываться отдельные планы , носящие характер программно- ц елевого планирования . Такими программами могут быть реконструкция предприятия , внедрение новых технологий , в том числе информационных , и т.п. результаты контроля за состоянием защиты информации , проводимого органами безопасности и иными контролирующими орг анами (в части , их касающейся ); особенности повседневной деятельности предприятия и специфика выполнения на предприятии работ с использованием различных видов конфиденциальной информации. Планирование мероприятий по защите конфиденциальной информации прово дится одновременно с планированием основной производственной и иной деятельности предприятия . Планирование может осуществляться на календарный год , календарный месяц , неделю , а также на иной определенный срок , обусловленный проведением важных мероприятий ( работ ) по видам деятельности предприятия , если они связаны с вопросами конфиденциального характера . Планы мероприятий , разрабатываемые на срок более одного календарного года , относятся , как правило , к стратегическому планированию , остальные планы решают т а ктические задачи. В целях эффективного решения задач по защите конфиденциальной информации в рамках наиболее важных и масштабных работ , а также в ходе реализации на предприятии федеральных целевых , государственных , ведомственных и других программ могут ра зрабатываться отдельные планы , носящие характер программно-целевого планирования . Такими программами могут быть реконструкция предприятия , внедрение новых технологий , в том числе информационных , и т.п. Планы мероприятий по защите информации относятся к до кументам с ограниченным доступом , учитываются и хранятся в службе безопасности (режимно-секретном подразделении ) предприятия в порядке , установленном для документов соответствующей степени конфиденциальности (секретности ). Разработка планирующих документов по защите информации на предприятии осуществляется службой безопасности (режимно-секретным подразделением ) в тесном взаимодействии с подразделениями (отдельными должностными лицами ), в ведении которых находятся задачи , непосредственно касающиеся вопросов защиты информации (подразделение противодействия иностранным техническим разведкам , служба охраны , кадровый орган и др .). Кроме того , при подготовке планов учитываются предложения структурных подразделений предприятия , занимающихся производственной (финан с ово-хозяйственной ) деятельностью или ее обеспечением. От полноты и качества разработки организационно-планирующих документов в полной мере зависит эффективность проведения мероприятий , направленных на исключение утечки конфиденциальной информации , утрат е е носителей , а также возникновения предпосылок подобных происшествий. Структура и основное содержание плана мероприятий по защите конфиденциальной информации Основным организационно-планирующим документом предприятия является План мероприятий по защите к онфиденциальной информации на календарный год . Данный план наиболее полно и всесторонне отражает мероприятия по защите информации , предполагаемые к проведению в ходе повседневной деятельности предприятия в течение календарного года . При подготовке плана у ч итываются вновь принятые (подписанные , утвержденные ) нормативные правовые акты и методические документы по защите конфиденциальной информации , действующие приказы и текущие указания вышестоящих органов государственной власти и организаций (при наличии вед о мственной принадлежности или иной подчиненности ). План мероприятий по защите конфиденциальной информации на предприятии на календарный год утверждается руководителем предприятия до начала календарного года , на который он разработан . При необходимости план согласовывается с соответствующим органом безопасности . Утвержденный план под расписку доводится до сведения заместителей руководителя предприятия , руководителей структурных подразделений и отдельных должностных лиц , ответственных за проведение указанных в плане мероприятий. Типовой план мероприятий по защите конфиденциальной информации на календарный год содержит следующие основные разделы : Организаторская работа руководства предприятия — разработка организационно-планирующих документов в ходе повседневн ой деятельности предприятия и при выполнении предприятием всех видов работ ; представляемые в вышестоящий орган государственной власти или в вышестоящую организацию доклады и донесения о состоянии защиты информации ; подготовка и издание приказов руководите л я предприятия по различным вопросам в сфере защиты конфиденциальной информации ; переработка и уточнение должностных обязанностей сотрудников и др. � Подготовка персонала по вопросам защиты информации — организация и проведение занятий со всеми категориями с отрудников предприятия с учетом специфики выполняемой ими работы ; изучение положений нормативно-методических документов в области защиты информации и , при необходимости , доведение их требований до сведения сотрудников под расписку ; принятие зачетов и пров е дение занятий с вновь прибывшими или назначенными на должность сотрудниками ; мероприятия по обучению сотрудников предприятия в образовательных учреждениях высшего , среднего и дополнительного профессионального образования. 3. Контроль защиты информации и на личия носителей конфиденциальной информации — организация и проведение всех видов проверок состояния защиты информации и наличия носителей конфиденциальной информации . Особое внимание уделяется планированию проводимых по окончании календарного года меропр и ятий по проверке наличия носителей информации комиссией предприятия . Для предприятий , работающих со сведениями , составляющими государственную тайну , проведение проверок наличия носителей этих сведений планируется в соответствии со сроками , определенными в нормативных правовых актах по обеспечению режима секретности . При наличии у предприятия подчиненных организаций , филиалов и представительств планируются проверки состояния защиты информации в этих организациях комиссиями головного предприятия. 4. Допуск и доступ персонала к конфиденциальной информации и ее носителям — мероприятия , касающиеся разработки , переработки и согласования номенклатуры должностей работников предприятия , подлежащих оформлению на допуск к сведениям , составляющим государственную тайну ; вопросы оформления и переоформления материалов на допуск к государственной тайне сотрудников предприятия , в том числе контрактов , трудовых договоров и карточек о допуске ; разработка и переработка списков лиц , допускаемых к конфиденциальной информации , а т акже лиц , допускаемых к конкретным материалам проводимых работ ; мероприятия , направленные на разграничение доступа к носителям конфиденциальной информации в зависимости от степени их секретности или конфиденциальности , а также в зависимости от тематики пр о водимых предприятием работ. При необходимости отдельным пунктом отражаются вопросы организации учета осведомленности лиц в сведениях особой важности и совершенно секретных сведениях , подготовки соответствующих заключений. 5. Организация и ведение конфиденц иального делопроизводства — мероприятия , непосредственно касающиеся деятельности службы безопасности или режимно-секретного подразделения предприятия , а также специально создаваемых на предприятии комиссий по отбору конфиденциальных документов и материало в для уничтожения , пересмотру степени секретности или конфиденциальности материалов , инструктажу лиц , убывающих с носителями конфиденциальной информации за пределы предприятия ; вопросы учета , хранения , размножения и уничтожения носителей конфиденциальной и н формации , порядок работы с ними персонала предприятия. 6. Защита информации при осуществлении рекламной и публикаторской деятельности — мероприятия , связанные с работой экспертной комиссии по принятию решений о возможности публикации научных материалов , ин формации о деятельности предприятия , использования этих материалов при проведении рекламных акций ; мероприятия , осуществляемые при подготовке материалов к открытому опубликованию. 7. Защита информации при использовании технических средств — организационные мероприятия по подготовке и вводу в эксплуатацию объектов информатизации , обрабатывающих информацию с ограниченным доступом , по технической защите информации , защите информации от несанкционированного доступа и от утечки по техническим каналам ; работа до л жностных лиц по противодействию иностранным техническим разведкам , предотвращению утечки информации при использовании средств открытой связи — например факсимильной , телеграфной , голосовой , телефонной. 8. Защита информации в ходе осуществления международно го сотрудничества — мероприятия по защите информации при подготовке и реализации международных договоров и иных документов , приеме иностранных делегаций на предприятии . Мероприятия предусматриваются с учетом распределения функций по защите информации межд у структурными подразделениями предприятия (отделами , службами ) и должностными лицами. 9. Выезд за границу сотрудников , допущенных к конфиденциальной информации , — для предприятий , работающих со сведениями , составляющими государственную тайну , планирование мероприятии в данном разделе осуществляется в строгом соответствии с Федеральным законом «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию» , Законом РФ «О государственной тайне» и иными нормативными правовыми актами РФ . Планируемы е мероприятия не должны быть направлены на ограничение права сотрудников предприятия , допущенных конфиденциальной информации (за исключением сведений особой важности и совершенно секретных сведений ), на выезд из Российской Федерации. 10. Защита информации при выполнении совместных и других работ — мероприятия , направленные на исключение утечки конфиденциальной информации при участии предприятия в выполнении совместных и других работ , предусмотренных уставом предприятия ; порядок и условия отражения в догово р ах , заключаемых с заказчиками или исполнителями работ , вопросов защиты информации , содержание соответствующих пунктов указанных договоров ; мероприятия по защите государственной тайны в ходе деятельности конкурсных комиссий по выбору исполнителей работ ; пр и участии предприятия в выполнении работ в рамках государственного оборонного заказа — особенности проведения этих работ. Для совместных работ , в которых предприятие выступает в роли заказчика или головного исполнителя , предусматриваются мероприятия по конт ролю эффективности защиты исполнителями этих работ конфиденциальной информации , передаваемой им предприятием в качестве исходных данных . При выполнении предприятием работ с использованием сведений , составляющих государственную тайну , в данном разделе план а предусматриваются мероприятия , определенные ст . 17 Закона РФ «О государственной тайне» (включение в договоры на проведение работ положений , содержащих меры ответственности заказчиков , головных исполнителей и исполнителей работ за несоблюдение установленн ы х требований и т.д .). 11. Защита информации в чрезвычайных ситуациях — порядок формирования , задачи и основные направления деятельности нештатного подразделения предприятия — специальной комиссии , создаваемой приказом руководителя предприятия в целях выра ботки мер по предупреждению чрезвычайных ситуаций на предприятии , а также мер по защите информации при возникновении чрезвычайных ситуаций ; практические меры , направленные на недопущение нанесения ущерба информационной безопасности предприятия вследствие в озникновения чрезвычайной ситуаций , в том числе на предотвращение утечки защищаете информации , утраты , хищения или уничтожения носителе конфиденциальной информации ; анализ возможных угроз и различных факторов , приводящих к возникновению на предприятии чре з вычайных ситуаций . Особое внимание уделяется вопросам координации действий всех структурных подразделений , участвующих в решении задач защиты информации. При планировании мероприятий по защите информации учитываются все возможные виды и способы проявления чрезвычайных ситуаций , мероприятия по защите информации при возникновении чрезвычайных ситуаций отражаются в соответствующих планах работы предприятия (его структурных подразделений ) на календарный месяц . В данном разделе плана (либо в отдельном приложени и к плану ) указываются также : · фамилия , имя , отчество , домашний адрес и контактные те-фоны (в том числе мобильной связи ) каждого сотрудника , принимающего участие в ликвидации последствий чрезвычайной ситуации на объектах предприятия ; · очередность и порядо к вызова (оповещения ) всех сотрудников , участвующих в выполнении работ по ликвидации последствий чрезвычайной ситуации , в зависимости от ее вида , сроки прибытия этих сотрудников на объекты предприятия ; · обязанности каждого сотрудника предприятия и последо вательность выполнения им мероприятий (работ ) в соответствии с конкретным планом действий ; · перечень сил и средств (в том числе транспортных средств и средств связи ), привлекаемых к решению задач ликвидации последствий чрезвычайных ситуаций ; · места стоян ки и маршруты движения транспортных средств , эвакуирующих носители конфиденциальной информации (в том числе крупногабаритные ); · маршруты эвакуации носителей конфиденциальной информации , места их сосредоточения , способы и порядок охраны эвакуированных носи телей (крупногабаритных изделий ), привлекаемые для охраны силы и средства (в том числе штатных подразделений охраны ). 12. Пропускной режим и охрана объектов предприятия — организационные мероприятия по созданию и совершенствованию системы пропускного реж има и охраны , такие , как подготовка приказов о вводе в действие или о выводе из действия всех видов пропусков , о назначении ответственных должностных лиц , разработка и переработка инструкций и положений , мероприятия по материально-техническому обеспечению, установке и эксплуатации технических средств охраны и др. 13. Аналитическая работа на предприятии — все виды обзоров и отчетов о состоянии дел в области защиты информации на предприятии , оформляемых для руководства предприятия , а также для руководителей вышестоящих органов государственной власти или вышестоящих организаций ; мероприятия по формированию материалов , содержащих итоги работы предприятия и его структурных подразделений по защите информации , для изучения всея сотрудниками предприятия . Особое ме с то в разделе занимают аналитические отчеты по итогам календарного месяца и календарного года , которые готовит служба безопасности (режимно-секретное подразделение ) предприятия. При необходимости включения в план иных мероприятий , I вошедших в перечисленны е разделы , они отражаются в отдел mном разделе плана («Другие мероприятия» ). Особое внимание при разработке и реализации плана мероприятии уделяется роли руководителей структурных подразделений предприятия как должностных лиц , ответственных за обеспечение защиты информации в непосредственно подчиненных т подразделениях. Контроль за выполнением конкретных мероприятий , включенных в данный план , осуществляется руководителем предприятия и его заместителем , в ведении которого находятся вопросы защиты конфиденциа льной информации . Служба безопасности (режимно-секретное подразделение ) предприятия осуществляет текущий контроль за практической реализация включенных в план мероприятий и информирует об их выполнении указанных должностных лиц . Мероприятия , отраженные в р азделах плана , подробно рассмотрены в соответствующих глава учебника. Ответственность за разглашение конфиденциальной информации и утрату носителей информации. Разглашение конфиденциальной информации — предание огласке этой информации работником , допущен ным к ней в связи с выполнением функциональных (должностных ) обязанностей. Под утратой носителей конфиденциальной информации (документов , материалов , изделий ) понимается выход (в том числе на непродолжительное время ) этих носителей из владения работника , который в установленном порядке допущен к ним в связи с выполнением функциональных (должностных ) обязанностей , в результате чего данные носители стали либо могли стать достоянием посторонних лиц. За разглашение конфиденциальной информации , утрату носителе й конфиденциальной информации и нанесение вследствие этих действий ущерба предприятию (работодателю ) виновные лица привлекаются к дисциплинарной , материальной , административной или уголовной ответственности. Дисциплинарная ответственность работников предп риятий предусмотрена ст . 57, 81, 192 и 193 Трудового кодекса РФ . В соответствии со ст . 57 в заключаемом работодателем и работником трудовом договоре могут предусматриваться условия о неразглашении охраняемой законом тайны (государственной , служебной , комм е рческой и иной ). Определенные ст . 192 Трудового кодекса РФ : замечание , выговор , увольнение по соответствующим основаниям . Порядок применения дисциплинарных взысканий определен в ст . 193 кодекса. Увольнение работника осуществляется в соответствии с положен иями ст . 81 Трудового кодекса РФ «Расторжение трудового договора по инициативе работодателя» . В соответствии с подп . 6в указанной статьи трудовой договор с работником может быть расторгнут в случае однократного грубого нарушения работником трудовых обязан н остей — разглашения охраняемой законом тайны (государственной , коммерческой , служебной и иной ), ставшей известной работнику в связи с исполнением им трудовых обязанностей. Материальная ответственность работника наступает в случае нанесения ущерба предприя тию в результате разглашения конфиденциальной информации , ставшей известной работнику в связи с исполнением им должностных (функциональных ) обязанностей . В соответствии со ст . 232, 238, 242 Трудового кодекса РФ работник обязан возместить ущерб , нанесенный предприятию (работодателю ). Согласно п . 7 ст . 243 кодекса , разглашение сведений , составляющих охраняемую законом тайну (коммерческую , служебную или иную ), влечет за собой материальную ответственность работника в полном размере причиненного ущерба. Админис тративная ответственность за разглашение конфиденциальной информации , доступ к которой ограничен в соответствии с законодательством РФ , определена ст . 13.14 Кодекса Российской Федерации об административных правонарушениях. В соответствии с положениями указ анной статьи разглашение информации , доступ к которой ограничен федеральным законом (за исключением случаев , когда разглашение такой информации влечет уголовную ответственность ), лицом , получившим доступ к такой информации в связи с исполнением служебных и ли профессиональных обязанностей , влечет наложение административного штрафа : на граждан — в размере от пяти до десяти минимальных размеров оплаты труда ; на должностных лиц — от сорока до пятидесяти минимальных размеров оплаты труда. Уголовная ответственно сть за преступления в сфере защиты государственной тайны предусмотрена ст . 275, 283, 284 гл . 29 Уголовного кодекса РФ. Согласно ст . 275 УК РФ , выдача гражданином РФ государственной тайны иностранному государству , иностранной организации или их представите лям наказывается лишением свободы на срок от двенадцати до двадцати лет со штрафом в размере до пятисот тысяч рублей или в размере заработанной платы или иного дохода осужденного за период до трех лет либо без такового. Разглашение сведений , составляющих государственную тайну , лицом , которому она была доверена или стала известна по службе или работе , без признаков государственной измены в соответствии со ст . 283 УК РФ наказывается арестом на срок от четырех до шести месяцев либо лишением свободы на срок д о четырех лет (в случае тяжких последствий — до семи лет ) с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. Согласно ст . 284 УК РФ , нарушение лицом , имеющим допуск к государствен ной тайне , установленных правил обращения с содержащими государственную тайну документами или с предметами , сведения о которых составляют государственную тайну , повлекшее их утрату и наступление тяжких последствий , наказывается ограничением свободы на сро к до трех лет либо арестом на срок от четырех до шести месяцев , либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЩИЕ ПОЛОЖЕНИЯ 1.1 Настоящее Положение разработано в соответствии с Конституцией РФ , Трудовым кодексом Российской Федера ции , Федеральным законом от 29 июля 2004 г . № 98-ФЗ «О коммерческой тайне» , Федеральным законом от 27 июля 2006 № 149-ФЗ «Об информации , информатизации и защите информации» , Указом Президента РФ от 06 марта 1997 г . № 188 «Об утверждении перечня сведений к о нфиденциального характера» , Федеральным законом Российской Федерации от 27 июля 2006 г . № 152-ФЗ «О персональных данных» , Приказом Министерства образования и науки РФ от 23 января 2014 г . № 36 «Об утверждении порядка приема на обучение по образовательным п рограммам среднего профессионального образования» и определяет порядок создания , обработки и хранения персональных данных сотрудников , студентов и обучающихся бюджетного профессионального образовательного учреждения Омской области «Омский колледж професси о нальных технологий» (БПОУ ОКПТ ) (далее – Колледж ). Колледж является образовательным учреждением среднего профессионального образования , находится в ведении Министерства образования Омской области . Положение разработано с целью упорядочения отношений по п олучению и использованию Колледжем информации о сотруднике , студенте и обучающемся личного характера , формирования четких правил защиты данной информации от неправомерного ее использования . Правила настоящего Положения регламентируют деятельность всех под разделений Колледжа , в которых обрабатываются , используются и хранятся материалы (копии документов ), содержащие сведения о персональных данных . 1.2 Настоящее Положение утверждается приказом директора Колледжа и является локальным нормативным актом обязате льным для выполнения всеми сотрудниками , студентами и обучающимися Колледжа . 1.3 Основные понятия , используемые в настоящем Положении : Информационная система персональных данных – информационная система , представляющая собой совокупность персональных дан ных , содержащихся в базе данных , а также информационных технологий и технических средств , позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств . Несанкционированный доступ ( несанкционированные действия ) – доступ к информации или действия с информацией , осуществляемые с нарушением установленных прав и (или ) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств , аналогич ных им по своему функциональному предназначению и техническим характеристикам . Оператор – БПОУ ОКПТ и его сотрудники , организующие и (или ) осуществляющие обработку персональных данных , а также определяющие цели и содержание обработки персональных данных . Правила разграничения доступа – совокупность правил , регламентирующих права доступа операторов доступа к субъектам доступа . Угрозы безопасности персональных данных – совокупность условий и факторов , создающих опасность несанкционированного , в том числе с лучайного , доступа к персональным данным , результатом которого может стать уничтожение , изменение , блокирование , копирование , распространение персональных данных , а также иных несанкционированных действий при их обработке в информационной системе персонал ь ных данных . БПОУ ОКПТ Система менеджмента качества Положение по колледжу Положение о защите персональных данных П-СМК -03-29-15 Лист 4 из 27 Уничтожение персональных данных – действия , в результате которых невозможно восстановить содержание персональных д анных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных . Блокирование персональных данных – временное прекращение сбора , систематизации , накопления , использования , распространения персональных данных , в том числе их передачи . Конфиденциальность персональных данных – обязательное для соблюдения оператором требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания . Субъ ект персональных данных (далее – Субъект ПД ) – это владелец информации необходимой для осуществления договорных и трудовых отношений . Субъектами персональных данных в Колледже являются : � обучающиеся всех форм обучения ; � сотрудники состоящие с Колледже м в трудовых отношениях , в том числе работающие в Колледже по совместительству и условиях почасовой оплаты ; � обучающиеся на хозрасчетных курсах Колледжа ; � абитуриенты , подавшие заявления о поступлении в Колледж ; � прочие физические лица , состоящие с Колледжем в договорных отношениях . Персональные данные (ПД ) - любая информация , относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных ), в том числе его фамилия , имя , отчество , год , мес яц , дата и место рождения , адрес , семейное , социальное , имущественное положение , образование , профессия , доходы , другая информация , необходимая Колледжу в связи с трудовыми или договорными отношениями и касающаяся конкретного владельца персональных данных. Обработка персональных данных - действия (операции ) с персональными данными , включая сбор , систематизацию , накопление , хранение , уточнение (обновление , изменение ), использование , распространение (в том числе передачу ), обезличивание , блокирование , уничто жение персональных данных . Автоматизированная обработка персональных данных - операции , полностью или частично осуществляемые с применением автоматизированных средств . Автоматизированные базы данных могут быть географически разрознены и собираться воедино через компьютерные сети . Базы данных , хранящиеся в электронном виде , в большей мере , чем информация , содержащаяся на бумажном носителе , доступны для неправомерного внедрения и корректировки или для корректировки , осуществляемой в результате сбоя в компью т ерной программе . Персональные данные , полученные или обрабатываемые исключительно в автоматизированном (электронном ) виде , не могут быть положены в основу решения директора Колледжа , затрагивающего интересы Субъекта ПД . 1.4 Каждый сотрудник , студент и обу чающийся на хозрасчетных курсах Колледжа должен быть ознакомлен под расписку с настоящим Положением , иными документами , устанавливающими порядок обработки персональных данных в Колледже , а также об их правах и обязанностях в этой области . 1.5 Основополага ющими принципами защиты персональных данных в Колледже являются : � принцип личной ответственности сотрудников , обрабатывающие персональные данные , за сохранность и конфиденциальность сведений о работе с персональными данными Субъектов ПД ; � принцип разграничения доступа конкретных операторов к персональным данным Субъектов ПД ; � принцип проведения регулярных проверок наличия бумажных и электронных документов , дел и баз данных у сотрудников Колледжа и кадровых документов в подразделениях . 2 ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ 2.1 Конституция РФ гарантирует каждому человеку право на неприкосновенность частной жизни , личную и семейную тайну (ст . 23). При этом сбор , хранение , использование и распространение информации о частной жизни лица без его согласия не допускаются (ч . 1 ст . 24). 2.2 Персональные данные не могут быть использованы в целях причинения имущественного и мораль ного вреда гражданам , затруднения реализации прав и свобод граждан Российской Федерации . Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении , о расовой , национальной , языковой , религиозной и парт и йной принадлежности и иных убеждениях работника , его частной , в том числе семейной , жизни (возраст , наличие или отсутствие детей , состав семьи ) запрещено и карается в соответствии с законодательством . 2.3 Каждый имеет право свободно искать , получать , пере давать , производить и распространять информацию любым законным способом (ч . 4 ст . 29). Каждое из указанных прав может быть ограничено исключительно федеральным законом и только в той мере , в какой это необходимо в целях защиты основ конституционного строя, нравственности , здоровья , прав и законных интересов других лиц , обеспечения обороны страны и безопасности государства . 2.4 Персональные данные субъектов как сведения о фактах , событиях и обстоятельствах частной жизни гражданина , позволяющие идентифициров ать его личность , относятся к числу сведений конфиденциального характера (ст . 11 «Об информации , информатизации и защите информации» , п . 1 Перечня , утв . Указом Президента РФ от 06 марта 1997 г . № 188 «Об утверждении Перечня сведений конфиденциального хара к тера» ). 2.5 Субъекты персональных данных и /или их представители должны быть ознакомлены под роспись с документами организации , устанавливающими порядок обработки персональных данных в Колледже , а также об их правах и обязанностях в этой области . 2.6 Сост ав персональных данных , получаемых при оформлении договорных и трудовых отношений и в ходе профессиональной и образовательной деятельности , включает информацию (согласно ФЗ от 27.07.2006 г . № 152-ФЗ «О персональных данных» ): � фамилию , имя , отчество , фото графии ; - о трудовом стаже , подтверждаемом трудовой книжкой ; - о регистрации субъекта в системе государственного пенсионного страхования , подтверждаемой страховым свидетельством государственного пенсионного страхования ; - о состоянии субъекта на воинско м учете (для военнообязанных и лиц , подлежащих призыву на военную службу ); � об образовании , квалификации Субъекта ПД , наличии у него специальных знаний , подтверждаемую документами об образовании , о квалификации копии наградных листов , аттестационные лист ы или наличии специальных знаний (при поступлении на работу , требующую специальных знаний или специальной подготовки ), копии приказов о поощрениях , взысканиях , характеристики и рекомендательные письма , заявление работника об увольнении , копия приказа об увольнении регистрационные данные документа об образовании , регистрационные данные свидетельства ЕГЭ ; - о размере заработной платы ; - о наличие степеней , званий и т.д .; - о возрасте субъекта , подтверждаемую паспортом или иным документом , удостоверяющим личность ; - о наличии или отсутствии у субъекта семейных обязанностей , что подтверждается паспортом ; - данные о дате и месте рождения ; гражданстве , знании иностранного языка ; состоянии в браке , составе семьи с указанием фамилии , имени , отчества , года рождения ближайших родственников ; � о документе , удостоверяющем личность субъекта (паспортные данные - серия , номер № , дата выда чи , кем выдан ); - об адресе по регистрации , об адресе фактического места жительства ; - о номере домашнего (мобильного ) телефона ; � о состоянии здоровья субъекта путем проведения в установленных федеральными законами случаях медицинского освидетельствова ния при заключении трудового договора , договора на предоставлении образовательных услуг , периодических и внеочередных медицинских осмотров (отражается в медицинской книжке согласно приказу Роспотребнадзора от 20.05.2005 № 402 «О личной медицинской книжке и санитарном паспорте» ); - о членстве субъекта в профессиональном союзе , его профсоюзной деятельности ; - об идентификационном номере налогоплательщика - физического лица , номере страхового свидетельства в системе обязательного пенсионного страхования , а т акже информацию , на основании которой производятся налоговые вычеты ; - о фамилии , которая была у субъекта при рождении (ст . 6 Федерального закона от 01 апреля 1996 г . № 27-ФЗ «Об индивидуальном (персонифицированном ) учете в системе обязательного пенсионно го страхования» ). 3 СОЗДАНИЕ , ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 3.1 Субъект ПД обязан : - передавать Колледжу комплект достоверных , документированных персональных данных , состав которых установлен Трудовым Кодексом РФ от 30 декабря 2001 г . № 197- ФЗ , приказом Роспотребнадзора от 20.05.2005 № 402 «О личной медицинской книжке и санитарном паспорте» , Приказом Министерства образования и науки РФ от 23 января 2014 г . № 36 «Об утверждении порядка приема на обучение по образовательным программам среднего профессионального образования» ; - своевременно сообщать оператору об изменении своих персональных данных . 3.2 Получение определенной информации о владельце ПД является обязанностью оператора . Такая информация необходима для исполнения обязанностей , возло женных на оператора Трудовым Кодексом РФ , Правилами внутреннего трудового распорядка , трудовым договором , договором образовательных услуг . Персональные данные получаются и обрабатываются оператором в документированной форме ( фиксируются на электронном и б умажном носителе с реквизитами , позволяющими идентифицировать соответствующую информацию ). 3.3 Обработка персональных данных с убъекта ПД охватывает все стадии работы Колледжа с этими данными , от их получения до передачи иным лицам в соответствии с законодательством . Обработка персональных данных сотрудников осуществляется в целях обеспечения соблюдения Конституции Российской Фед ерации , федеральных законов и иных нормативных правовых актов Российской Федерации , содействия сотрудникам в исполнении должностных обязанностей , повышении квалификации и должностном росте , обеспечения личной безопасности при исполнении должностных обязан н остей , учета результатов исполнения должностных обязанностей , обеспечения социальными льготами в соответствии с законодательством и нормативными документами университета . Обработка персональных данных всех категорий студентов и обучающихся осуществляется в целях обеспечения соблюдения Конституции Российской Федерации , Федеральных законов и иных нормативных правовых актов Российской Федерации , содействия в освоении образовательных программ , учета выполнения учебного плана и качества полученных знаний , соде й ствия трудоустройству , обеспечения личной безопасности в период обучения , обеспечения социальными льготами в соответствии с законодательством и нормативными документами Колледжа . Обработка персональных данных абитуриентов осуществляется в целях обеспечени я соблюдения Конституции Российской Федерации , федеральных законов и иных нормативных правовых актов Российской Федерации , содействия в оптимальном выборе образовательных программ , обеспечения соблюдения правил приема в соответствии с законодательством и н ормативными документами Колледжа , гласности и открытости деятельности приемной комиссии . 3.4 В целях обеспечения прав и свобод человека и гражданина Колледж при обработке персональных данных Субъекта ПД обязан соблюдать следующие общие требования : - обра ботка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов , содействия сотрудникам , студентам или обучающимся в трудоустройстве , обучении , продвижении по службе , обеспечения личной безопасности , выполняемой работы и обеспечения сохранности имущества . В указанных случаях письменное согласие на использование персональных данных не требуется ; - при определении объема и содержания , обрабатываемых персональных данных директор Колледжа до лжен руководствоваться Конституцией Российской Федерации , Трудовым Кодексом , Федеральным законом «Об образовании в РФ» и иными федеральными законами ; - все персональные данные субъекта ПД следует получать у него самого . Порядок действия в случаях получени я ПД у третьей стороны описан в п . 3.7 настоящего Положения ; - Колледж не имеет права получать и обрабатывать персональные данные о его политических , религиозных и иных убеждениях и частной жизни Субъекта ПД . В случаях , непосредственно связанных с вопроса ми трудовых и договорных отношений , в соответствии со статьей 24 Конституции Российской Федерации Колледж вправе получать и обрабатывать данные о частной жизни Субъекта ПД только с его письменного согласия (Приложение Б , В , Д ); - Колледж не имеет права по лучать и обрабатывать персональные данные сотрудника , студента или обучающегося о его членстве в общественных объединениях или его профсоюзной деятельности , за исключением случаев , предусмотренных федеральным законом ; - при принятии решений , затрагивающих интересы Субъекта ПД , Колледж не имеет права основываться на персональных данных Субъекта ПД , полученных исключительно в резул ьтате их автоматизированной обработки или электронного получения ; -защита персональных данных Субъекта ПД от неправомерного их использования или утраты должна быть обеспечена за счет средств Колледжа в порядке , установленном федеральным законом ; - сотруд ники , студенты и обучающиеся Колледжа должны быть ознакомлены под расписку с документами организации , устанавливающими порядок обработки персональных данных , а также об их правах и обязанностях в этой области ; - сотрудники , студенты и обучающиеся Колледжа не должны отказываться от своих прав на сохранение и защиту тайны . 3.5 При приеме на работу и заключении трудового договора , договора образовательных услуг оператор по обработке ПД получает от Субъекта ПД письменное согласие на обработку и использование, в том числе на получение от третьей стороны или передачу третьей стороне , его персональных данных исключительно в целях и на условиях , предусмотренных законодательством РФ . 3.6 Соответствующие структурные подразделения Колледжа могут вести обработку и ис пользование персональных данных на бумажных и магнитных носителях , в электронной форме (с обеспечением защиты от несанкционированного доступа ) для количественного и качественного необходимого анализа , подготовки статистической отчетности , представления ру к оводству Колледжа оперативной информации и для других целей , предусмотренных документами , регулирующими деятельность Колледжа , и законодательством РФ . 3.7 В случае , когда персональные данные о Субъекте ПД могут быть получены исключительно у какого-либо тр етьего лица (государственного органа , предыдущего работодателя и т.п .), Субъект ПД должен быть извещен о предполагаемом получении запрашиваемых данных до обращения с запросом о предоставлении персональных данных . Такое извещение осуществляется в форме уве д омления о будущем получении персональных данных Субъекта ПД у иного лица под расписку . При отказе Субъекта ПД от ознакомления с уведомлением о предполагаемом получении его персональных данных у иного лица об этом составляется акт , который должен быть подп и сан лицами , предъявившими Субъекту ПД соответствующее извещение . В извещении указываются : � цели получения персональных данных у иного лица ; � предполагаемые источники информации (лица , у которых будут запрашиваться персональные данные ); � способы полу чения персональных данных , их характер ; � последствия , которые наступят , если Субъект ПД откажет Колледжу в получении персональных данных у иного лица . 3.8 Информация о частной жизни Субъекта ПД может поступать в Колледж от третьих лиц . Органы следствия могут потребовать от Колледжа отстранить от работы или учебы Субъекта ПД при совершении им аморального проступка , содержащего признаки преступления . В этом случае данные о частной жизни сотрудника приобретают значение данных предварительного следствия и м огут быть использованы Колледжем , несмотря на отсутствие письменного согласия сотрудника на их обработку . 4 ЗАЩИТА ПЕРСОНАЛЬНО Й ИНФОРМАЦИИ КОЛЛЕДЖА 4.1 Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное , реальное или потенциальное , активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создава ть неблагоприятные события , оказывать дестабилизирующее воздействие на защищаемую информацию . 4.2 Риск угрозы любым информационным ресурсам создают стихийные бедствия , экстремальные ситуации , террористические действия , аварии технических средств и линий с вязи , другие объективные обстоятельства , а также заинтересованные и незаинтересованные в возникновении угрозы лица . 4.3 Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс , предупреждающий нарушени е доступности , целостности , достоверности и конфиденциальности персональных данных и , в конечном счете , обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Колледжа . 4.4 Защита персональной информации внутри Колледжа . 4.4.1 Для регламентации доступа персонала Колледжа к конфиденциальным сведениям , документами и базами данных в целях исключения несанкционированного доступа третьих лиц и защиты персональных данных Субъектов ПД необходимо соблю дать : � ограничение и регламентацию состава работников , функциональные обязанности которых требуют конфиденциальных знаний ; � строгое избирательное и обоснованное распределение документов и информации между работниками ; � рациональное размещение рабочих мест работников , при которых исключается бесконтрольное использование защищаемой информации ; � знание работником требований нормативно – методических документов по защите информации и сохранении тайны ; � наличие необходимых условий в помещении для работ ы с конфиденциальными документами и базами данных ; � определение и регламентация состава работников , имеющих право доступа (входа ) в помещение , в котором находится вычислительная техника с базами данных ; � организация порядка уничтожения информации ; � с воевременное выявление нарушения требований разрешительной системы доступа к конфиденциальной информации ; � воспитательная и разъяснительная работа с сотрудниками Колледжа по предупреждению утраты и разглашению сведений при работе с персональными данными и конфиденциальными документами ; � ограничение допускается выдачи личных дел сотрудников на рабочие места руководителей ; � использование служебных съемных электронных носителей , подлежащих хранению в сейфах по окончанию работы ; � передача информации с п омощью съемных электронных носителей осуществляется с разрешения руководителя подразделения с обязательной регистрацией в журнале ; � личная ответственность сотрудника за сохранность и конфиденциальность сведений о работе отдела ; � проведение регулярных проверок наличия традиционных и электронных документов , дел и баз данных у сотрудника отдела и кадровых документов в подразде лении . 4.4.2 Все папки на электронных носителях , содержащие персональные данные Субъекта ПД , должны быть защищены паролем , который хранится у директора Колледжа , заместителя директора по научно-методической работе , начальника отдела безопасности . 4.5 За щита персональной информации от воздействия внешних факторов . 4.5.1 Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица , пытающегося совершить несанкционированный доступ и овла дение информацией . 4.5.2 Проведение комплекса мероприятий по исключению несанкционированного доступа к информационным ресурсам с целью предотвращения овладения конфиденциальными сведениями , их использованием , а также видоизменения , уничтожения , внесения в ирусов , подмены , фальсификации содержания , реквизитов документа . 4.5.3 Под посторонними лицами понимаются любые лица , не имеющее непосредственного отношения к деятельности Колледжа , посетители , в том числе работники других структурных подразделений . 4.5. 4 Посторонние лица не должны знать распределение функций , рабочие процессы , технологию составления , оформления , ведения и мест хранения документов . 4.5.5 Для защиты персональных данных Субъектов ПД необходимо соблюдать : - порядок приема , учета и контроля деятельности посетителей ; - пропускной режим ; - учет и порядок выдачи документов ; - технические средства охраны , сигнализации ; - порядок охраны территории , зданий , помещений , транспортных средств ; - требования к защите информации при интервьюировании и собеседованиях . 4.5.6 Лица , виновные в нарушении норм , регулирующих получение , обработку и защиту персональных данных субъекта , несут дисциплинарную , административную , гражданско-правовую или уголовную ответственность в соответствии с федеральными зако нами . 4.5.7 Операторы , связанные с получением , обработкой и защитой персональных данных обязаны принять обязательство о неразглашении персональных данных Субъектов ПД Колледжа (Приложение А ). 4.6 По составу конфиденциальных сведений и основных направлени й защиты персональных данных , в отделах Колледжа , выделяются две большие группы документации : документация по организации работы отделов и документация , содержащая персональные данные в единичном или сводном виде . Первая группа включает в себя положение о б отделе , должностные инструкции , приказы , распоряжения , указания директора Колледжа , регламентирующие структуру отделов и распределение сфер ответственности между его сотрудниками , рабочие инструкции по выполнению основных функций отделов . К их числу отн о сятся также дела с документацией по планированию , учету , анализу и отчетности в части основной деятельности отделов . Вторая группа - это : � пакеты документов , сопровождающие процесс оформления трудовых правоотношений работника (при приеме на работу , пере воде , увольнении ); � пакеты документов , сопровождающие процесс заключения договора об образовательных услугах ; � пакет мат ериалов по анкетированию , тестированию , проведению собеседований ; � подлинники и копии приказов по личному составу ; � личные дела и трудовые , зачетные книжки Субъектов ПД ; � дела , содержащие основания к приказам по составу сотрудников , студентов и обуча ющихся ; � дела , содержащие материалы аттестации сотрудников , служебных расследований и т.п .; � справочно-информационный банк данных по Субъектам ПД (картотеки , журналы , электронные банки информации ); � подлинники и копии отчетных , аналитических и справо чных материалов , передаваемых директору Колледжа , руководителям структурных подразделений и служб ; � копии отчетов , направляемых в государственные органы статистики , налоговые инспекции , вышестоящие органы управления и другие учреждения . 4.7 Персональны е данные хранятся в документированной форме , характер которой определяется , согласно нормативным документам , директором Колледжа . В соответствии с Постановление Госкомстата РФ от 05 января 2004 № 1 «Об утверждении унифицированных форм первичной учетной до кументации по учету труда и его оплаты» к числу документов по учету кадров сотрудников относятся : - приказ о приеме сотрудника на работу ; - личная карточка сотрудника ; - штатное расписание ; - учетная карточка педагогического сотрудника ; - приказ о пер еводе сотрудника на другую работу ; - приказ о предоставлении отпуска сотруднику ; - график отпусков ; - приказ о прекращении действия трудового договора с сотрудником ; - приказ о направлении сотрудника в командировку ; - командировочное удостоверение ; - служебное задание для направления в командировку и отчет о его выполнении . Стандартизированными документами по учету использования рабочего времени и расчетов по оплате труда являются : � табель учета использования рабочего времени ; � расчетно-платежная ведомость ; � расчетная ведомость ; � платежная ведомость ; � журнал регистрации платежных ведомостей ; � приказ о поощрении сотрудника . � лицевой счет ; � записка-расчет о предоставлении отпуска работнику ; � записка-расчет при прекращении действия трудо вого договора с сотрудником ; � акт о приемке работ , выполненных по трудовому договору , заключенному на время выполнения определенной работы . Приказы по движению контингента обучающихся оформляются в соответствии с установленными формами ГОСТ Р 6.30-2003 «Унифицированные система организационно распорядительной документации . Требования к оформлению документов » . 4.8 Гл авным условием защиты персональных данных является четкая регламентация функций работников отделов и , в соответствии с этим , регламентация принадлежности работникам документов , дел , картотек , журналов персонального учета и баз данных . По каждой функции , в ыполняемой сотрудниками отделов , должен быть регламентирован состав документов , дел и баз данных , с которыми этот сотрудник имеет право работать . Не допускается , чтобы сотрудник мог знакомиться с любыми документами и материалами отдела . 4.8.1 Операции по оформлению , формированию , ведению и хранению личных дел сотрудников выполняются специалистом по кадрам , который несет личную ответственность за сохранность документов в делах и доступ к делам других сотрудников . Материалы , связанные с анкетированием , пров е дением собеседований с кандидатами на должность , помешаются не в личное дело принятого сотрудника , а в специальное дело , имеющее гриф "Конфиденциально ". Специалист по кадрам ведет учет выдачи дел . Личное дело должно обязательно иметь опись документов , вкл юченных в дело . Листы дела нумеруются в процессе формирования дела . Все новые записи в дополнении к личному листку по учету кадров и учетных формах заверяются росписью специалиста по кадрам (ответственного лица ). Ознакомление с делами осуществляется в пом ещении отдела кадров под наблюдением специалиста по кадрам , ответственного за сохранность и ведение личных дел . Сотрудник Колледжа имеет право знакомиться только со своим личным делом и трудовой книжкой , учетными карточками , отражающими его персональные д а нные . В случае изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа . С документа , подлежащего изъятию , снимается копия , которая подшивается на место изъятого док умента . Отметка в описи и копия заверяются росписью специалиста по кадрам (ответственного лица ). Замена документов в личном деле кем бы то ни было запрещается . Новые , исправленные документы помещаются вместе с ранее подшитыми . Расчетные листы по заработн ой плате выдаются лично в руки сотруднику Колледжа . Контроль над работой со справочно-информационным банком данных по персоналу Колледжа (картотеками , журналами и книгами персонального учета сотрудников ) осуществляется специалистом по кадрам . В связи с ис п ользованием автоматизированного типа данного банка в отделах ведется комплекс страховых и резервных машиночитаемых и бумажных копий , включенных в банк учетных форм . Руководители соответствующих отделов при разработке положений о деятельности отдела , соста влении должностных и рабочих инструкций обязаны учитывать указанные требования . 4.8.2 Операции по оформлению , формированию , ведению и хранению личных дел студентов и обучающихся выполняются ответственным секретарем приемной комиссии и секретарем учебной ч асти , методистом хозрасчетного отделения , которые несут личную ответственность за сохранность документов в делах и доступ к делам других сотрудников . Материалы , связанные с анкетированием , проведением собеседований с Субъектами ПД , помещаются не в личное д ело , а в специальное дело , имеющее гриф "Конфиденциально ". Ответственными вед Сђ тся учет выдачи дел . Личное дело должно обязательно иметь опись документов , включенных в дело . Листы дела нумеруются в процессе формирования дела . Все новые записи в дополнении к личному листку по учету и учетных формах заверяются росписью ответственного лица . Ознакомление с делами осуществляется в по мещении приемной комиссии , в кабинете секретаря учебной части и кабинете методиста хозрасчетного отделения под наблюдением ответственного за сохранность и ведение личных дел . Субъект имеет право знакомиться только со своим личным делом , учетными карточкам и , отражающими его персональные данные . В случае изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа . С документа , подлежащего изъятию , снимается копия , которая подшивается на место изъятого документа . Отметка в описи и копия заверяются росписью ответственного лица . Замена документов в личном деле кем бы то ни было запрещается . Новые исправленные документы , помещаются вместе с ранее подшитыми . Контроль над работ ой со справочно-информационным банком данных Субъектов ПД (картотеками , журналами и книгами персонального учета ) осуществляется сотрудниками , назначенными приказом директора Колледжа . Руководители соответствующих отделов при разработке положений о деятель н ости отдела , составлении должностных и рабочих инструкций обязаны учитывать указанные требования . 4.9 Документы , содержащие информацию о конкретном Субъекте ПД , соединяются в его личном деле . Порядок его ведения и хранения устанавливается законом РФ и нас тоящим Положением . 4.10 Документом , содержащим персональные данные сотрудника о его трудовой деятельности и трудовом стаже , является трудовая книжка , которая хранится отдельно от личного дела . Документ , содержащий персональные данные студента о его учебно й деятельности , является зачетная книжка , журналы теоретического и практического обучения , которые хранятся отдельно от личного дела (зачетные книжки хранятся у заведующих отделениями , журналы теоретического и практического обучения у заведующего учебной ч астью и заведующих производственной практикой ). Документы , содержащие персональные данные обучающегося о его учебной деятельности , являются журналы теоретического и практического обучения , которые хранятся отдельно от личного дела . 4.11 Работу по сбору , о бработке , хранению и использованию персональных данных субъекта ПД осуществляют : � специалист по кадрам (сбор , обработка , хранение и использование ); � бухгалтерия (обработка , хранение и использование ); � приемная комиссия (сбор , обработка , хранение и ис пользование ); � хозрасчетный отдел (сбор , обработка , хранение и использование ); � учебно-производственный отдел (сбор , обработка , хранение и использование ); � учебно-воспитательный отдел (сбор , обработка , хранение и использование ); � общий отдел (сбор , обработка , хранение и использование ); � архив (сбор , обработка , хранение и использование ) � библиотека (сбор , обработка , хранение и использование ). 4.12 В указанных подразделениях приказом директора Колледжа назначаются лица , ответственные за сохранн ость документов , материалов , содержащих сведения о персональных данных Субъектов ПД . Ответственными лицами должны предприниматься все необходимые меры для воспрепятствования несанкционированного доступа к такой информации других лиц , в том числе путем соз д ания особого режима доступа в помещения , где хранится соответствующая информация . 4.13 Хранение персональных данных Субъектов ПД Колледжа в период их работы или обучения осуществляется обособленными структурными подразделениями Колледжа , БПОУ ОКПТ Система менеджмента качества Положение по колледжу Положение о защите персональных данных П-СМК -03-29-15 Лист 14 из 27 перечисленными в п .4.11. в их личных делах , на бумажных и электронных носителях в оборудованных для этих целей помещениях и в закрывающихся шк афах . 4.14 В Колледже дела , картотеки , учетные журналы и книги учета хранятся в рабочее и нерабочее время в запирающихся шкафах . Сотрудникам не разрешается при выходе из помещения оставлять какие-либо документы на рабочем столе или оставлять шкафы незапер тыми . 4.15 На рабочем столе сотрудника Колледжа , обрабатывающего ПД , должен всегда находиться только тот массив документов , с которым в настоящий момент он работает . Другие документы , дела , карточки , журналы должны находиться в запертом шкафу . Исполняемые документы не разрешается хранить в россыпи . Их следует помещать в папки , на которых указывается вид производимых с ними действий (подшивка в личные дела , для отправки и пр .). 4.16 В конце рабочего дня все документы , дела , листы бумаги и блокноты с рабочи ми записями , инструктивные и справочные материалы должны быть убраны в шкафы , сейфы , которые запираются и опечатываются печатью данного сотрудника Колледжа . На рабочем столе не должны оставаться служебные документы и другие документы , содержащие персональ н ые данные . Черновики и редакции документов , испорченные бланки , листы со служебными записями в конце рабочего дня уничтожаются , таким образом , который не позволил бы их восстановить . Печати , штампы , бланки документов , ключи от рабочих шкафов хранятся толь ко в сейфах отела . 4.17 Электронные документы , содержащие персональные данные , после завершения работы должны быть закрыты и удалены с рабочего стола . 4.18 Персональные компьютеры , на которых обрабатываются и хранятся ПД , должны быть обеспечены кодом дос тупа , который известен только оператору , непосредственно работающему на данном персональном компьютере , руководителю структурного подразделения и заместителю директора по научно-методической работе . 4.19 Системные блоки , на которых хранятся и обрабатывают ся ПД , должны быть опечатаны . 4.20 В конце рабочего дня персональные компьютеры должны быть отключены от сети электропитания . 4.21 Сдачу на сигнализацию и снятие с сигнализации помещений , где хранятся и обрабатываются ПД Колледжа , осуществляют ответствен ные за помещение . 4.22 Уборка помещений , где обрабатываются ПД , допускается только в присутствии сотрудников Колледжа . 4.23 При работе с документами , содержащими информацию о персональных данных должны строго соблюдаться требования настоящего Положения и стандарта СОУ-СМК 02-04-01-08 «Управление документацией» . 4.24 На документах , выходящих за пределы Колледжа в бумажном виде , может ставиться гриф «Конфиденциально» или «Для служебного пользования» . В Колледже обязательно остаются копии всех отчетных и сп равочных документов . 4.25 Отчеты и документы , содержащие ПД , в электронном виде передаются : � через глобальную сеть Интернет только с помощью программ , кодирующих информацию ; � на служебных электронных носителях , с обязательной регистрацией в журнале с указанием перечня информации , хранящейся на данном носителе , даты и времени выноса , ФИО сотрудника , выносящего информацию , названия организации , для которой предназначена данная информация . В Колледже обязательно остаются копии электронных документов 4.26 В структурных подразделениях Колледжа могут быть следующие документы , содержащие персональные данные : � журнал табельного учета с указанием должностей , фамилий , инициалов сотрудников (находится у работника , ведущего табельный учет ); � штатное расписание , в котором дополнительно может указываться , кто из сотрудников занимает ту или иную должность , вакантные должности (находи тся у директора , главного бухгалтера и специалиста по кадрам ), размер заработной платы , структура подразделения разрабатывается в соответствии со штатным расписанием ; � дело с выписками из приказов по личному составу , касающимися подразделения ; � журналы теоретического и практического обучения ; � экзаменационные и зачетные ведомости оценок ; � журналы классного руководителя ; � журналы посещаемости обучающихся ; � списки обучающихся ; � зачетные книжки . Помимо указанных документов в подразделениях Колл еджа могут быть : заявления , докладные , служебные , объяснительные . По истечении установленного срока использования документа в конкретном подразделении , он передается на хранение в архив . Руководители подразделений могут иметь список сотрудников с указани ем основных биографических данных каждого из них (год рождения , образование , местожительство , домашний телефон и др .). Все перечисленные документы следует хранить в сейфах в соответствующих делах , включенных в номенклатуру и имеющих гриф ограничения досту п а . 4.27 В целях устранения нарушений законодательства , допущенных при обработке персональных данных , а также уточнения , блокирования и уничтожения персональных данных , Колледж обязан : � При выявлении недостоверных персональных данных или неправомерных де йствий с ними по запросу Субъекта ПД , его представителя , либо уполномоченного органа по защите прав субъектов персональных данных , осуществить блокирование персональных данных , относящихся к соответствующему субъекту персональных данных , с момента такого о бращения или получения такого запроса на период проверки . � В случае подтверждения факта недостоверности персональных данных , на основании документов , представленных сотрудником , студентом или обучающемся , его представителем или уполномоченным органом по защите прав Субъектов ПД , уточнить персональные данные и снять их блокирование . 4.28 При выявлении неправомерных действий с персональными данными , в срок , не превышающий трех рабочих дней с момента обнаружения , устранить допущенные нарушения . В случае не возможности устранения допущенных нарушений - уничтожить персональные данные . Об устранении допущенных нарушений или об уничтожении персональных данных , уведомить Субъекта ПД или его законного представителя , а в случае , если обращение или запрос были напр а влены уполномоченным органом по защите прав Субъектов ПД , указанный орган . 4.29 В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных работодатель обязан прекратить обработку персональных данных и уничтожить персона льные данные в срок , не превышающий трех рабочих дней с даты поступления указанного отзыва , если иное не предусмотрено соглашением между БПОУ ОКПТ Система менеджмента качества Колледжем и Субъектом ПД . Об уничтожении персональных данных оператор обязан уведомить Субъекта ПД . 4.30 Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения , если иное не опреде лено законом . 5 ВНУТРЕННИЙ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ 5.1 Работодатель принимает на себя обязанность создавать условия , обеспечивающие исполнение сотрудникам Колледжа указанных выше подразделений своих должностных функций по защите охраняемой законом т айны . С этой целью устанавливаются следующие правила работы с документами и материалами , содержащими сведения о персональных данных в помещениях подразделений , где собирается , обрабатывается и хранится такая информация : - Прием работников , студентов , посе тителей осуществляется только в те часы , которые ежедневно выделяются для этой цели в соответствии с особенностями работы конкретного подразделения . Информация о часах работы с указанными лицами должна вывешиваться на видном месте в каждом подразделении . В другое время в помещении не могут находиться посторонние лица , в том числе студенты и сотрудники Колледжа . - Во время приема посетителей работники подразделения не должны выполнять функции , не связанные с приемом , вести служебные и личные переговоры по т елефону . На столе сотрудника , ведущего прием , не должно быть никаких документов , кроме тех , которые касаются данного посетителя . В случае возникновения нестандартной ситуации сотрудник должен незамедлительно оповестить непосредственного руководителя струк т урного подразделения . - Не допускается отвечать на вопросы , связанные с передачей персональных данных по телефону . Ответы на официальные письменные запросы других учреждений и организаций даются в письменной форме на бланке Колледжа и фиксируются в журнал е исходящих документов . - При выдаче справки с места работы необходимо удостовериться в личности работника , которому эта справка выдается . Не разрешается выдавать ее родственникам или сослуживцам лица , которому требуется справка . За получение справки рабо тник Колледжа расписывается в журнале учета выдачи справок . - При выдаче справки с места учебы обучающемуся , необходимо удостовериться в личности студента , которому эта справка выдается . Не разрешается выдавать ее родственникам или третьим лицам , которым требуется справка . За получение справки обучающийся Колледжа расписывается в журнале учета выдачи справок . - Для получения информации о персональных данных конкретного работника , студента и обучающегося Колледжа сотрудник , которому такая информация необхо дима в связи с осуществлением должностных обязанностей , должен обратиться с письменным запросом к специалисту , ответственному за обработку и хранение персональных данных в соответствующем подразделении . 5.2 Строго запрещено передавать по просьбе обучающег ося информацию о персональных данных преподавателей и других работников . 5.3 Поступающие в Колледж запросы (ответы либо отказы на запросы ) подлежат регистрации в журнале регистрации входящих документов в установленном порядке . Запрос должен содержать конк ретный перечень необходимых сведений и цель получения таких сведений . При наличии согласия Субъекта ПД на обработку персональных данных ответственный специалист готовит и передает письменную информацию , лично работая с БПОУ ОКПТ Система менеджмента качеств а Положение по колледжу Положение о защите персональных данных П-СМК -03-29-15 Лист 17 из 27 документами и материалами . В случае отсутствия согласия Субъекта ПД на обработку персональных данных в ответ на запрос высылается уведомление (Приложение Г ). Пере дача в руки другому сотруднику Колледжа документов , дел , материалов , а равно вынос с места их хранения запрещается . 5.4 Личные дела субъектов ПД могут выдаваться на рабочее место только директору Колледжа . 5.5 Руководители подразделений могут знакомиться с личными делами , иными документами , содержащими персональные сведения о работниках , находящихся в их непосредственном подчинении , только в присутствии ответственного лица . 5.6 Факт ознакомления фиксируется ответственным специалистом . 5.7 Выдача личных дел субъектов ПД для ознакомления директору Колледжа допускается по его личному запросу на срок не более одного рабочего дня . Дела выдаются под роспись в контрольной карточке . Передача личных дел и запрос информации через секретарей руководителей не допус к ается . При возврате дела проверяется сохранность документов . 5.8 Субъект ПД имеет право знакомиться только со своим личным делом , и трудовой книжкой , документами , отражающими его персональные данные . 5.9 Размещение ответственными специалистами информации о персональных данных субъектов ПД в папках с общим доступом через локальную сеть Колледжа строго запрещено . Настоящее требование не распространяется на информацию , подготовленную к размещению непосредственно Субъектом ПД (портфолио ), либо с его участием в целях презентации его деятельности , морального поощрения , поздравления . 5.10 Запрещается работа на одном ПК двух и более пользователей с различными трудовыми функциями , если работа одного из них связана с обработкой персональных данных . 5. 11 Запрещает ся доверять пароли доступа к информации посторонним лицам . 5.12 Пользователь , обрабатывающий персональные данные , обязан по завершению работы сразу уничтожать файлы с компьютера общего доступа . 6 ВНЕШНИЙ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ 6.1 При передаче пер сональных данных работника Колледж должен соблюдать следующие требования : � не сообщать персональные данные Субъекта ПД третьей стороне без его письменного согласия , за исключением случаев , когда это необходимо в целях предупреждения угрозы жизни и здоров ью Субъекта ПД , а также в случаях , установленных федеральным законом ; � не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия ; � предупредить лиц , получающих персональные данные субъекта о том , что эти данные могут бы ть использованы лишь в целях , для которых они сообщены , и требовать от этих лиц подтверждения того , что это правило соблюдено . Лица , получающие информацию с персональными данными , обязаны соблюдать режим секретности (конфиденциальности ). Данное положение н е распространяется на обмен персональными данными в порядке , установленном федеральными законами ; � не запрашивать информац ию о состоянии здоровья субъекта за исключением тех сведений , которые относятся к вопросу о возможности выполнения трудовой деятельности и получения образования ; � в случае развода бывшая супруга (супруг ) имеют право официально обратиться в организацию с письменным запросом о размере заработной платы субъекта без его согласия . (УК РФ ). 6.2 Получателями персональных данных работника на законном основании являются : - Фонд социального страхования РФ . - Пенсионный фонд РФ . - Военно-учетные столы . - Медиц инская страховая компания . - Налоговые органы . - Федеральная инспекция труда . - Иные органы государственного надзора и контроля за соблюдением законодательства о труде . - Органы исполнительной власти , профессиональные союзы , участвующие в расследовании несчастных случаев на производстве . - Правоохранительные органы , прокуратура , суды в случаях , предусмотренных законом . Предоставление информации уполномоченным должностным лицам указанных органов осуществляется только на основании письменного запроса , а в случаях личного обращения – при предъявлении служебного удостоверения с соблюдением правил , предусмотренных настоящим Положением . 7 ПРАВА СУБЪЕКТА ПД В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 7.1 В целях обеспечения защиты персональных данных , х ранящихся у Колледжа , субъекты имеют право на : - полную информацию об их персональных данных и обработке этих данных ; - свободный бесплатный доступ к своим персональным данным , включая право на получение копий любой записи , содержащей персональные данные , за исключением случаев , предусмотренных федеральным законом ; - определение своих представителей для защиты своих персональных данных ; - доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору ; - требование об искл ючении или исправлении неверных или неполных персональных данных , а также данных , обработанных с нарушением требований закона . При отказе Колледжа исключить или исправить персональные данные субъекта , последний имеет право заявить в письменной форме Колле д жу о своем несогласии с соответствующим обоснованием такого несогласия . Персональные данные оценочного характера субъект имеет право дополнить заявлением , выражающим его собственную точку зрения ; - требование об извещении Колледжем всех лиц , которым ранее были сообщены неверные или неполные персональные данные субъекта , обо всех произведенных в них исключениях , исправлениях или дополнениях ; - обжалование в суд любых неправомерных действий или бездействия Колледжа при обработке и защите его персональных данных . 7.2 Право субъекта на доступ к своим персональным данным ограничивается в случае , если : - обработка персональных да нных , в том числе персональных данных , полученных в результате оперативно-розыскной , контрразведывательной и разведывательной деятельности , осуществляется в целях обороны страны , безопасности государства и охраны правопорядка ; - предоставление персональны х данных нарушает конституционные права и свободы других лиц . 8 ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ , РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА ПД 8.1 Лица , виновные в нарушении норм , регулирующих получение , обработку и защиту персональны х данных Субъекта ПД , несут дисциплинарную , административную , гражданско-правовую или уголовную ответственность в соответствии с федеральными законами : - если сотрудником , ответственным в организации за хранение персональных данных , допущена ситуация , при которой информация о владельце ПД стала известна другим физическим лицам , без умысла , ненамеренно , ответственный может быть привлечен как к административной , так и к дисциплинарной ответственности . Пп . «в» п .6 ст .81 ТК РФ предусматривают основание , надел я ющее Колледжа правом расторжения трудового договора по своей инициативе при разглашении охраняемой законом тайны , ставшей известной работнику в связи с исполнением им трудовых обязанностей ; - к материальной ответственности за виновное нарушение норм , регу лирующих порядок получения , обработки и защиты персональных данных работника , могут привлекаться как Колледж , так и работники , непосредственно обрабатывающие персональные данные . 8.2 Лица , виновные в нарушении правил работы с персональными данными субъект а , могут привлекаться к административной ответственности по следующим основаниям : - неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов , материалов , непосредственно затрагивающих его права и свободы , либо несвоевре менное предоставление таких документов и материалов , непредставление иной информации в случаях , предусмотренных законом , либо предоставление гражданину неполной или заведомо недостоверной информации (ст . 5.39 КоАП ); - нарушение установленного законом поря дка сбора , хранения , использования или распространения информации о гражданах (персональных данных ) (ст . 13.11 КоАП ); - нарушение правил защиты информации (ст . 13.12 КоАП ); - разглашение информации , доступ к которой ограничен федеральным законом , лицом , получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст . 13.14 КоАП ). 8.3 Уголовная ответственность за нарушение правил работы с персональными данными гражданина может наступить в следующих случаях : - не законное собирание или распространение сведений о частной жизни лица , составляющих его личную или семейную тайну , без его согласия либо распространение этих сведений в публичном выступлении , публично демонстрирующемся произведении БПОУ ОКПТ или средствах массовой информации , если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интере сам граждан (ст . 137 УК РФ ); - неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов , непосредственно затрагивающих права и свободы гражданина , либо предоставление гражданину неполной или заведомо ложной информации , если эти деяния причинили вред правам и законным интересам граждан (ст . 140 УК РФ ). Приложение А Бланк о бязательства о неразглашении персональных данных работников Обязательство о неразглашении персональных данных работников Я , _____________________________________________________________, паспорт серии ________, номер ____________, выданный _______________________________________________ « ____» ___________ ______ года , получая доступ к персональным данным сотрудников БПОУ ОКПТ понимаю , что при исполнении своих должностных обязанностей , буду заниматься сбором , обработкой и хранением персонал ь ных данных сотрудников . Я понимаю , что разглашение такого рода информации может нанести как прямой , так и косвенный ущерб сотрудникам колледжа . В связи с этим , даю обязательство , при работе с персональными данными сотрудников колледжа , соблюдать требован ия «Положения о защите персональных данных студентов и работников колледжа» . Я подтверждаю , что без письменного согласия субъекта персональных данных , не имею права разглашать и передавать третьим лицам : - анкетные и биографические данные ; - образование ; - сведения о трудовом стаже ; - сведения о составе семьи ; - паспортные данные ; - сведения о воинском учете ; - сведения о заработной плате ; - сведения о социальных льготах ; - специальность ; - занимаемая должность ; - наличие судимостей ; - адрес ме ста жительства ; - домашний телефон ; - место работы или учебы членов семьи и родственников ; - характер взаимоотношений в семье ; - содержание трудового договора ; - состав декларируемых сведений о наличии материальных ценностей ; - содержание декларации, подаваемой в налоговую инспекцию ; - подлинники и копии приказов по личному составу ; - личные дела и трудовые книжки сотрудников ; - основания к приказам по личному составу ; - дела , содержащие материалы по повышению квалификации и переподготовке сотрудн иков ; - аттестации сотрудников и материалы к служебным расследованиям ; - копии отчетов , направляемые в органы статистики ; - биометрические данные (фотографии ). Я предупрежден (а ) о том , что в случае разглашения мной сведений , касающихся персональных да нных сотрудника или их утраты я несу ответственность в соответствии со ст . 90 Трудового Кодекса РФ , ст . 24. Федерального Закона РФ «О персональных данных» С «Положением о защите персональных данных» ознакомлен (а ). « ____» __________ 20___ г . ____________ ________ (_____________________________) Приложение Б Бланк соглашения на обработку персональных данных абитуриентов С О Г Л А С И Е на обработку персональных данных абитуриентов бюджетного профессионального образовательного учреждения Омской области «Омский колледж профессиональных технологий» Я ______________________________________________________________________________ _______________________________________________________________________________________________________ (фамилия , имя , отчество ) _____________________________________________________________________________________________________________________________ _________________________________________________________ (серия и номер паспорта , когда и кем выдан ) в соответствии со статьей 9 Федерального закона Российской Федерации от 26.07.2006 года № 152 – ФЗ «О персональных данных» даю письменное согласие на обра ботку моих персональных данных , а именно : 1. Персональные данные , содержащиеся в заполненной мною анкете , в соответствии с законодательством Российской Федерации в области среднего профессионального образования и Правилами приема в Федеральное государстве нное образовательное учреждение 2. Медицинская справка установленного образца (по требованию ). 3. Сведения о результатах ЕГЭ . 4. Сведения о льготах . 5. Фотографии для личного дела . 6. Прочие документы , предоставленные мной , в соответствии с Правилами приема в БПОУ «Омский колледж профессиональных технологий» , в том числе характеристики , направления , сведения о наградах и т.п . Целью обработки персональных данных является обеспечение соблюдения Конституции Российской Федерации , федеральных законов и ины х нормативных правовых актов Российской Федерации , содействие в оптимальном выборе образовательных программ , обеспечение соблюдения правил приема в соответствии с законодательством и нормативными документами колледжа , гласности и открытости деятельности п р иемной комиссии . Обработка персональных данных осуществляется как на бумажных носителях , так и с использованием средств автоматизации . Срок действия согласия на обработку персональных данных : с момента подачи документов в приемную комиссию до выхода прик аза о зачислении студентом на соответствующую специальность , либо до добровольного отзыва моих документов из приемной комиссии . Для осуществления образовательной деятельности Оператор имеет право обрабатывать и переводить следующие персональные данные в о бщедоступные сведения : фамилия , имя , отчество , биометрические данные (только фотографии ), курс , номер группы , учебные и внеучебные достижения , адрес регистрации и адрес проживания , номер телефона , результаты психолого-педагогической диагностики . Оператор , осуществляющий обработку персональных данных : Бюджетное профессиональное образовательное учреждение Омской области «Омский колледж профессиональных технологий» . Со всеми пунктами настоящего соглашения ознакомлен и согласен . ____________________________ ____________________________________________ (подпись , расшифровка подписи и дата ) ____________________________ 1 О порядке отзыва согласия из ФЗ «О персональных данных» (№ 152-ФЗ ) «в случае отзыва субъектом персональных данных согласия на обработку свои х персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок , не превышающий тр Сђ х рабочих дней с даты поступления указанного отзыва , если иное предусмотрено соглашением между оператором и субъектом персональных данных . Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных» Продолжение п риложения Б 1 С О Г Л А С И Е на обработку персональных данных абитуриентов бюджетного профессионального образовательного учреждения Омской области «Омский колледж профессиональных технологий» Я , ________________________________________________________ ______________________________ (фамилия , имя , отчество ) ________________________________________________________________________________________ (серия и номер паспорта , когда и кем выдан ) Являюсь законным представителем несовершеннолетнего (несовершен нолетней ) _________________________________________________________________________________________ (фамилия , имя , отчество ) _________________________________________________________________________________________ (серия и номер паспорта , когда и кем в ыдан ) в соответствии со статьей 9 Федерального закона Российской Федерации от 26.07.2006 года № 152 – ФЗ «О персональных данных» даю письменное согласие на обработку персональных данных , несовершеннолетнего (несовершеннолетней ) ____________________________ _____________________________________________________________ (фамилия , имя , отчество ) а именно : 1. Персональные данные , содержащиеся в заполненной мною анкете , в соответствии с законодательством Российской Федерации в области среднего профессионального образования и Правилами приема в Федеральное государственное образовательное учреждение 2. Медицинская справка установленного образца (по требованию ). 3. Сведения о результатах ЕГЭ . 4. Сведения о льготах . 5. Фотографии для личного дела . 6. Прочие док ументы , предоставленные мной , в соответствии с Правилами приема в Бюджетное профессиональное образовательное учреждение Омской области «Омский колледж профессиональных технологий» , в том числе характеристики , направления , сведения о наградах и т.п . Целью обработки персональных данных является обеспечение соблюдения Конституции Российской Федерации , федеральных законов и иных нормативных правовых актов Российской Федерации , содействие в оптимальном выборе образовательных программ , обеспечение соблюдения пр а вил приема в соответствии с законодательством и нормативными документами колледжа , гласности и открытости деятельности приемной комиссии . Обработка персональных данных осуществляется как на бумажных носителях , так и с использованием средств автоматизации. Срок действия согласия на обработку персональных данных : с момента подачи документов в приемную комиссию до выхода приказа о зачислении студентом на соответствующую специальность , либо до добровольного отзыва моих документов из приемной комиссии . Для ос уществления образовательной деятельности Оператор имеет право обрабатывать и переводить следующие персональные данные в общедоступные сведения : фамилия , имя , отчество , биометрические данные (только фотографии ), курс , номер группы , учебные и внеучебные дост и жения , адрес регистрации и адрес проживания , номер телефона , результаты психолого-педагогической диагностики . Оператор , осуществляющий обработку персональных данных : Бюджетное профессиональное образовательное учреждение Омской области «Омский колледж проф ессиональных технологий» . Со всеми пунктами настоящего соглашения ознакомлен и согласен . ____________________________________________________________________________________ (подпись , расшифровка подписи и дата ) ______________________ 1 О порядке отзы ва согласия из ФЗ «О персональных данных» (№ 152-ФЗ ) «в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок , не превыша ю щий тр Сђ х рабочих дней с даты поступления указанного отзыва , если иное предусмотрено соглашением между оператором и субъектом персональных данных . Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных Приложение В Бланк соглашения на обработку персональных данных обучающихся С О Г Л АС И Е на обработку персональных данных обучающихся в бюдж етном профессиональном образовательном учреждении Омской области «Омский колледж профессиональных технологий» . (фамилия , имя , отчество ) ________________________________________________________________________________________, (серия и номер паспорта , ко гда и кем выдан ) в соответствии со статьей 9 Федерального закона Российской Федерации от 26.07.2006 года № 152 – ФЗ «О персональных данных» даю письменное согласие на обработку моих персональных данных , а именно : 1. Персональные данные , предоставленные мн ой при подаче заявления о зачислении на обучение в колледж , в соответствии с законодательством Российской Федерации в области среднего профессионального образования и Правилами приема в Бюджетное профессиональное образовательное учреждение Омской области « Омский колледж профессиональных технологий» . 2. Сведения о воинском учете . 3. Сведения о доходах , налогах и социальных льготах . 4. Сведения об ИНН , страховых свидетельствах государственного пенсионного и медицинского страховании . 5. Фотографии для личн ого дела , студенческого билета и зачетной книжки , снимки общественных мероприятий . 6. Форма обучения , специальность , номер группы в колледже . 7. Данные по успеваемости и выполнению учебного плана . 8. Данные о договоре (дополнениям к нему ) на получение о бразовательных услуг . 9. Данные по выданным документам о полученном в колледже образовании . 10. Данные о трудоустройстве . 11. Сведения о поощрениях и наложенных дисциплинарных взысканиях . 12.Адрес электронной почты (в колледже ) и идентификатор для дост упа в компьютерную сеть колледжа . 13. Результаты медицинских обследований . 14. Администрирование и контроль трафика Интернета . 15. Результаты посещения библиотеки колледжа . 16. Информация о родителях (фамилия , имя , отчество , дата рождения , адрес прожив ания , телефон , место работы ) Целью обработки персональных данных является обеспечение соблюдения Конституции Российской Федерации , федеральных законов и иных нормативных правовых актов Российской Федерации , содействия в освоении образовательных программ , учета выполнения учебного плана и качества полученных знаний , содействия трудоустройству , обеспечения личной безопасности в период обучения , обеспечения социальными льготами в соответствии с законодательством и нормативными документами колледжа . Для осуще ствления образовательной деятельности Оператор имеет право обрабатывать и переводить следующие персональные данные в общедоступные сведения : фамилия , имя , отчество , биометрические данные (только фотографии ), курс , номер группы , учебные и внеучебные достиж е ния , адрес регистрации и адрес проживания , номер телефона . Обработка персональных данных осуществляется как на бумажных носителях , так и с использованием средств автоматизации . Срок действия согласия на обработку персональных данных : на период обучения в колледже . Оператор , осуществляющий обработку персональных данных : Бюджетное профессиональное образовательное учреждение Омской области «Омский колледж профессиональных технологий» . Я ознакомлен с «Положением о защите персональных данных» . Со всеми пункта ми настоящего соглашения ознакомлен и согласен . ___________________________________________________________________________________ (подпись , расшифровка подписи и дата ) БПОУ ОКПТ Система менеджмента качества Положение по колледжу Положение о защите перс ональных данных П-СМК -03-29-15 Лист 25 из 27 Приложение Г Бланк уведомления Куда :__________________________________________________________ Кому :__________________________________________________________ УВЕДОМЛЕНИЕ В связи с отсутствием согласия су бъекта персональных данных на предоставление сведений инициатору обращения , в соответствии со статьями 7 и 9 Федерального закона «О персональных данных» сообщить запрашиваемую Вами информацию в отношении гр . _______________________________________________ _ _____________________________ (указать Ф.И.О .) не представляется возможным . Директор БПОУ ОКПТ С.В . Угрюмов « ___» __________ ________г Приложение Д Бланк соглашения на обработку персональных данных сотрудников Директору БПОУ ОКПТ Угрюмову С.В От __________________________ _____________________________ (Ф.И.О ) Согласие на обработку персональных данных Настоящим во исп олнение требований статьи 9 Федерального закона от 27.07.2006 г . "О персональных данных " № 152-ФЗ , я , гражданин РФ ____________________________________________ Ф.И.О ., ____ ____________ ________года рождения , паспорт ___________ ________ выдан ___________ _ __________ « ____» ____________г . адрес регистрации : _____________________________ даю согласие Федеральному государственному образовательному учреждению среднего профессионального образования «Омскому колледжу профессиональных технологий» (ФГОУ СПО «ОмКПТ» ) , место нахождения : 644073 г . Омск , ул . Дианова , 33, на обработку моих персональных данных включающих : фамилию , имя , отчество , пол , дату рождения , образование , адрес проживания . Предоставляю Оператору право осуществлять все действия (операции ) с моими пер с ональными данными , включая сбор , систематизацию , накопление , хранение , обновление , изменение , использование , обезличивание , блокирование , уничтожение . Под персональными данными я понимаю любую информацию , относящуюся ко мне как к субъекту данных , в том чи с ле фамилия , имя , отчество , год , месяц , дата и место рождения , адрес , семейное , социальное , имущественное положение , образование , профессия , доходы , другая информация . Под обработкой персональных данных я понимаю сбор , систематизацию , накопление , хранение, уточнение (обновление , изменение ), использование , распространение (в том числе передачу ), обезличивание , блокирование , уничтожение и любые другие действия (операции ) с персональными данными . Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных , включения в списки (реестры ) и отчетные формы , предусмотренные документами , регламентирующими предоставление отчетных данных (документов ). А также оператор имеет право на обмен (прием и передачу ) моих персональных да н ных со страховой медицинской организацией с использованием машинных носителей или по каналам связи , с соблюдением мер , обеспечивающих их защиту от несанкционированного доступа , при условии , что их прием и обработка осуществляется лицом , обязанным сохранят ь профессиональную тайну . Для осуществления образовательной деятельности Оператор имеет право обрабатывать и переводить следующие персональные данные в общедоступные сведения : фамилия , имя , отчество , биометрические данные (только фотографии ), должность , на у чно-практические достижения , ученая степень , служебный телефон , адрес электронной почты . Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа , который может быть направлен мной в адрес Оператора п о почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора . В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных , Оператор обязан прекратить их обработк у , в срок , не превышающий тр Сђ х рабочих дней с даты поступления указанного отзыва . Настоящее согласие дано мной действует бессрочно или до момента отзыва согласия . Со всеми пунктами настоящего соглашения ознакомлен и согласен . (Ф.И.О ) « _____» __________ 20___ год _____________________________ Подпись Тестовые задания по дисциплине 1.Собственником информации не может быть : а ) гос ударство ; б ) юридическое ли - цо ; в ) группа физических лиц ; г ) физическое лицо ; д ) ответы а – г правильны ; е ) нет правильного ответа . 2. Терминология в сфере защиты информации регулируется а ) ГОСТ Р 6.30 – 2003 б ) ГОСТ 51141 – 98 в ) ГОСТ 50922 – 96 г ) Граж данским кодексом . 3. Заранее намеченный результат защиты информации – это а ) замысел защиты информации ; б ) цель защиты информации ; в ) уровень эффективности защиты ин - формации . 4. Содержание и порядок действий , направленных на обеспечение защиты ин - форм ации – это а ) мероприятие по защите информации ; б ) система защиты ин - формации в ) организация защиты информации . 5. Субъект , осуществляющий владение и пользование информацией и реализую - щий полномочия распоряжения в пределах прав , установленных законом и (или ) собственником информации – это а ) носитель информации б ) собственник ин - формации в ) владелец информации д ) пользователь информации 6. В настоящее время по степени конфиденциальности можно классифицировать информацию , а ) составляющую коммерческую т айну ; б ) составляющую государ - ственную тайну ; в ) составляющую служебную тайну ; г ) составляющую профес - сиональную тайну . 7. В каких областях деятельности может быть государственная тайна а ) военной б ) образовательной в ) экономической г ) контрразведывате льной д ) внешнеполи - тической е ) внутриполитической ж ) разведывательной з ) оперативно-розыскной и ) экологической к ) правильны все ответы . 8. Классифицированный список типовой и конкретной ценной информации о вы - полняемых работах , производимой продукции , научных и деловых идеях , техно - логических новшествах – это а ) перечень ценных и конфиденциальных докумен - тов организации б ) перечень конфиденциальных сведений организации в ) пере - чень типовых документов , образующихся в деятельности организации . 9. Орга ни - зацией конфиденциального делопроизводства непосредственно занимаются : а ) все сотрудники организации в меру своих сил и обязанностей б ) служба безопас - ности в ) сектор конфиденциального делопроизводства в составе службы безопас - ности г ) первый руковод и тель организации д ) постоянно действующая экспертная комиссия е ) комиссии по проверке наличия , состояния и учета документов 10. Кто имеет право давать разрешение на ознакомление со всеми видами конфи - денциальных документов организации всем категориям сот рудников и другим лицам ? а ) руководитель службы безопасности б ) первый руководитель организа - ции в ) руководитель сектора конфиденциального делопроизводства в составе службы безопасности г ) правильны все варианты 11. Для работы сотруднику подразделения по надобились конфиденциальные све - дения и документы другого подразделения . Кто должен дать разрешение на озна - комление со сведениями и документами ? а ) непосредственный начальник этого сотрудника б ) заместитель руководителя организации , курирующий данное н а - правление в ) начальник подразделения , содержащего необходимые конфиденци - альные сведения и документы г ) только первый руководитель организации . 12. Конфиденциальные документы уничтожаются , если а ) они являются испол - ненными б ) истек срок их конфиденци альности в ) истек срок их хранения 13. Отправка нешифрованного конфиденциального документа по факсу а ) не до - пускается б ) допускается в ) допускается , если на документе стоит гриф конфи - денциальности 14. При проверках наличия конфиденциальных документов : а ) проверяют только документы , не трогая дела и иные носители конфиденциальной информации , т.к . в противном случае проверки буду т очень громоздкими и долговременными б ) проверяют документы и дела , не трогая иные носители конфиденциальной ин - формации , т .к . все , что связано с компьютерными технологиями , будет проверено специалистами по компьютерной безопасности в ) проверяют документы и дела , а также иные носители конфиденциальной информации . 15. а ). Основные угрозы доступности информации : непреднамеренны е ошибки пользователей ; б ). злонамеренное изменение данных ; в ). хакерская атака ; г ).отказ программного и аппаратно обеспечения ; д ). разруше - ние или повреждение помещений перехват данных 16. Суть компрометации информации – это : а ).внесение изменений в баз у данных , в результате чего пользователь лишается доступа к информации ; б ).несанкционированный доступ к передаваемой информации по каналам связи и уничтожения содержания передаваемых сообщений ; в ).внесение несанкциониро - ванных изменений в базу данных , в р е зультате чего потребитель вынужден либо отказаться от неё , либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений . 17. Информационная безопасность автоматизированной системы – это состояние автоматизированной с истемы , при котором она , … а ). с одной стороны , способна противостоять воздействию внешних и внутренних информационных угроз , а с другой – ее наличие и функционирование не создает информационных угроз для элементов самой системы и внешней среды ; б ). с од- ной стороны , способна противостоять воздействию внешних и внутренних ин - формационных угроз , а с другой – затраты на её функционирование ниже , чем предполагаемый ущерб от утечки защищаемой информации ; в ). способна проти - востоять только информационным угр о зам , как внешним так и внутренним ; г ). способна противостоять только внешним информационным угрозам . 18. Методы повышения достоверности входных данных – это : а ). замена процесса ввода значения процессом выбора значения из предлагаемого множества ; б ). отка з от использования данных ; в ).проведение комплекса регламентных работ ; г ). ис - пользование вместо ввода значения его считывание с машиночитаемого носителя ; 19. Принципиальное отличие межсетевых экранов (МЭ ) от систем обнаружения атак (СОВ ): а ). МЭ были раз работаны для активной или пассивной защиты , а СО – для активного или пассивного обнаружения ; б ). МЭ были разработаны для ак - тивного или пассивного обнаружения , а СО – для активной или пассивной за - щиты ; в ).МЭ работают только на сетевом уровне , а СО – еще и на физическом . 20. Сервисы безопасности выполняют : а ).идентификацию и аутентификацию ; б ).шифрование ; в ). инверсию паролей ; г ). контроль целостности ; д ). регулирова - ние конфликтов . 21. Под угрозой удаленного администрирования в компьютерной сети по нимается угроза …а ). несанкционированного управления удаленным компьютером ; б ).внедрения агрессивного программного кода в рамках активных объектов Web- страниц ; в ).перехвата или подмены данных на путях транспортировки вмешательства в личную жизнь ; г ).пост а вки неприемлемого содержания 22. Причины возникновения ошибки в данных : а ).Погрешность измерений ; б ).Ошибка при записи результатов измерений в промежуточный документ ; в ).Неверная интерпретация данных ; г ). Ошибки при переносе данных с промежу - точного доку мента в компьютер ; д ).Использование недопустимых методов анали - за данных ; е ).Неустранимые причины природного характера . 23. К формам защиты информации не относится…а ). аналитическая ; б ). правовая ; в ). организационно-техническая ; г ). страховая . 24. Наибо лее эффективное средство для защиты от сетевых атак… а ). использова - ние сетевых экранов или « firewall» ; б ). использование антивирусных программ ; в ). посещение только «надёжных» Интернет-узлов ; г ). использование только сер - тифицированных программ-броузер о в при доступе к сети Интернет . 25. Информация , составляющая государственную тайну не может иметь гриф… а ). «для служебного пользования» ; б ). «секретно» ; в ). «совершенно секретно» ; г ). «особой важности» . 26. Разделы современной к pиптог pафии : а ). Симметрич ные криптосистемы ; б ). Криптосистемы с открытым ключом ; в ). Криптосистемы с дублированием защи - ты ; г ). Системы электронной подписи ; д ). Управление паролями ; е ). Управление передачей данных ; ж ). Управление ключами . 27. Документ , определивший важнейшие сер висы безопасности и предложивший метод классификации информационных систем по требованиям безопасности : а ). рекомендации X.800; б ). Оранжевая книга ; в ). Закон «Об информации , информа - ционных технологиях и о защите информации» . 28.. Утечка информации – эт о …а ). несанкционированный процесс переноса ин - формации от источника к злоумышленнику ; б ). процесс раскрытия секретной ин - формации ; в ). процесс уничтожения информации ; г ). непреднамеренная утрата носителя информации . 29. Основные угрозы конфиденциальнос ти информации : а ). маскарад ; б ). карна - вал ; в ). переадресовка ; г ). перехват данных ; д ). блокирование ; е ). злоупотребления полномочиями . 30. Элементы знака охраны авторского права : а ). буквы С в окружности или круг - лых скобках ; б ). буквы P в окружности и ли круглых скобках ; в ). наименования (имени ) правообладателя ; г ). наименование охраняемого объекта ; д ). наименова - ние года первого выпуска программы . 31. Защита информации обеспечивается применением антивирусных средств : а ). да ; б ). нет ; в ). не всегда . 32. Средства защиты объектов файловой системы основаны на…а ). определении прав пользователя ; б ). на операции с файлами и каталогами ; в ). задании атрибутов файлов и каталогов , независящих от прав пользователей 33. Вид угрозы– … угроза : а ). активная ; б ). па ссивная ; в ). интерактивная . 34. Преднамеренная угроза безопасности информации – это… а ). кража ; б ).наводнение ; в ). повреждение кабеля , по которому идет передача , в связи с по - годными условиями ; г ). ошибка разработчика . 35. Концепция системы защиты от ин формационного оружия не должна вклю - чать…а ). средства нанесения контратаки с помощью информационного оружия ; б ). механизмы защиты пользователей от различных типов и уровней угроз для на - циональной информационной инфраструктуры ; в ). признаки , сигнализиру ю щие о возможном нападении ; г ). процедуры оценки уровня и особенностей атаки против национальной инфраструктуры в целом и отдельных ее пользователей . 36.. В соответствии с нормами российского законодательства защита информации представляет собой принятие п равовых , организационных и технических мер , на - правленных на …а ). обеспечение защиты информации от неправомерного досту - па , уничтожения , модифицирования , блокирования , копирования , предоставле - ния , распространения , а также от иных неправомерных действи й в отношении та - кой информации ; б ). реализацию права на доступ к информации» соблюдение норм международного права в сфере информационной безопасности ; в ). выявление нарушителей и привлечение их к от ветственности ; г ). соблюдение конфиденциальности информа ции ограниченного доступа ; д ). разработку методов и усовершенствование средств информационной безопасности . 37. Свойства информации в форме сообщения , часто используемые при организа - ции хакерских атак : а ).идеальность ; б ). субъективность ; в ). не уничтожа емость ; г ). динамичность ; 38. Поставьте в порядке важности национальные интересы : а ). информационное обеспечение государственной политики Российской Федерации ; б ). Развитие со - временных информационных технологий , отечественной индустрии информации ; в ). С облюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею ; г ). Защита информационных ресурсов от несанкционированного доступа . 39. К какому классу информационных ресурсов относятся автоматизированные раб очие места проектировщиков ? А ). Документы ; б ). Персонал ; в ). Организаци - онные единицы ; г ). Промышленные образцы ; д ). Научный инструментарий 40. Какой метод обеспечения информационной безопасности отсутствует в пе - речне : а ). Организационный ; б ). Правово й ; в ). Технический ; в ). Экономический ; д ). Идеологический .

Приложенные файлы

  • rtf 4925075
    Размер файла: 3 MB Загрузок: 0

Добавить комментарий