— соответствовать структуре, целям и задачам предприятия;

— описывать общую программу обеспечения безопасности, включая вопросы эксплуатации и усовершенствования;

— перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры;

— определять ответственных за внедрение и эксплуатацию всех средств защиты;

— определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил безопасности.

Прежде чем приступить к разработке документов, определяющих порядок ЗИ, нужно провести оценку угроз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле. Целесообразно обратить внимание на следующие вопросы:

— принадлежность информации; об информации обязан заботиться тот, кому она принадлежит;

— определение важности информации; пока не определена значимость информации, не следует ожидать проявлений должного отношения к ней;

— значение секретности; как пользователи хотели бы защищать секретность информации? Нужна ли она им вообще?

Если право на сохранение тайны будет признано в вашей организации, то может ли она выработать такие правила, которые обеспечивали бы права пользователей на защиту информации?

9.2. Состав нормативно-методического обеспечения

Состав нормативно-методического обеспечения может быть определен следующим образом: законодательная база, руководящие методические документы и информационно-справочная база. К первому компоненту относятся: законы, указы президента, постановления правительства, кодексы (гражданский, уголовный, административный), госты. Во второй компонент могут входить документы министерств и ведомств (Гостехкомиссия, ФСБ), а также документы, разработанные на предприятиях по вопросам защиты информации. В состав информационно-справочной базы входят словари, каталоги, специализированные журналы, справочники, электронные базы данных. Нормативно-методическая документация должна содержать следующие вопросы защиты информации:

— какие информационные ресурсы защищаются;

— какие программы можно использовать на служебных компьютерах;

— что происходит при обнаружении нелегальных программ или данных;

— дисциплинарные взыскания и общие указания о проведении служебных расследований;

— на кого распространяются правила;

— кто разрабатывает общие указания;

— точное описание полномочий и привилегий должностных лиц;

— кто может предоставлять полномочия и привилегии;

— порядок предоставления и лишения привилегий в области безопасности;

— полнота и порядок отчетности о нарушениях безопасности и преступной деятельности;

— особые обязанности руководства и служащих по обеспечению безопасности;

— объяснение важности правил (пользователи, осознающие необходимость соблюдения правил, точнее их выполняют);

— дата ввода в действие и даты пересмотра;

— кто и каким образом ввел в действие эти правила.

План защиты информации может содержать следующие сведения:

— назначение ИС;

— перечень решаемых ИС задач;

— конфигурация;

— характеристики и размещение технических средств и программного обеспечения;

— перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;

— требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;

— список пользователей и их полномочий по доступу к ресурсам системы;

— цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации;

— перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;

— основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;

— требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;

— основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС);

— цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и чем она достигается;

— перечень и классификация возможных кризисных ситуаций;

— требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов. и т. п.);

— обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;

— разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

— определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

— определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);

— определение порядка разрешения споров в случае возникновения конфликтов.

9.3. Порядок разработки и внедрения документов

В статье 7 Закона РФ «О государственной тайне» заранее установлен состав сведений, которые не могут быть засекречены, т. е. отнесены к государственной тайне.

Не подлежат отнесению к государственной тайне и засекречиванию сведения:

— о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствия, а также о стихийных бедствиях и их официальных прогнозах и последствиях;

— о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;

— о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;

— о фактах нарушения прав и свобод человека и гражданина;

— о размерах золотого запаса и государственных валютных резервах РФ;

— о состоянии здоровья высших должностных лиц РФ;

— о фактах нарушения законности органами государственной власти и их должностными лицами.

Должностные лица, принявшие решение о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную и дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба.

Законность отнесения сведений к государственной тайне и их засекречивание заключается в соответствии засекречиваемых сведений положениями ст. 5 и ст. 7 закона о государственной тайне.

Обоснованность отнесения сведений к государственной тайне и их засекречивание заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий засекречивания исходя из баланса жизненно важных интересов государства, общества и граждан. Своевременность отнесения сведений к государственной тайне и их засекречивание заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.

Полномочиями по отнесению сведений к государственной тайне обладают следующие органы государственной власти и должностные лица:

1. Палата Федерального собрания;

2. Президент Российской Федерации;

3. Правительство РФ;

4. Органы государственной власти РФ, органы государственной власти субъектов РФ и органы местного самоуправления во взаимодействии с органами защиты государственной тайны, расположенными в пределах соответствующих территорий;


Перейти на страницу:
Изменить размер шрифта: