Лекция 2 О владении конфиденциальной информацией

Объекты, обладающие конфиденциальной информацией, интересы субъекта, стремящегося получить эту информацию – прямо противоположны. Эти противоположности в информационном процессе можно рассматривать с позиции активности в действиях, которые приводят к овладению конфиденциальных сведений. В этом случае возможны следующие ситуации:

1.Владелец не предпринимает никаких мер по сохранению конфиденциальной информации. Это позволяет злоумышленнику легко получить конфиденциальную информацию

2. Источник информации в этом случае злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям. Для этого злоумышленник использует всю совокупность способов несанкционированного проникновения (легальные и нелегальное проникновение).

3.Промежуточная ситуация. Утечка информации по техническим каналам, при которой владелец информации еще не знает об утечке (иначе принял бы меры), а злоумышленник легко, без особых усилий может использовать технические каналы утечки в своих целях. Факт получения охраняемых сведений называют утечкой – неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа и получения защищаемой информации иностранными разведками (ГОСТ Р 53114-2008).

Утечка информации по техническому каналу – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации (Р 50.1.053.-2005)

Вместе с тем, в значительной части законодательных актов используются такие понятия, как «разглашение сведений» или НСД к конфиденциальной информации. Разглашение информации – несанкционированное доведение защищаемой информации до лиц, не имеющих права доступа к этой информации (ГОСТ Р 53114-2008)

Разглашение информации, составляющей коммерческую тайну – действие или бездействие, в результате которого, информация, составляющая коммерческую тайну в любой возможной форме (устной, письменной, иной форме, в том числе, с использованием технических средств), становится известной третьим лицам без согласия обладателя такой информации, либо вопреки трудовому или гражданско-правовому договору (федеральныйзакон о коммерческой тайне).

Несанкционированный доступ – доступ людей или объектов, не имеющих право доступа (ГОСТ Р 51241-98)

Несанкционированный доступ – доступ к информации или к ресурсам автоматизированной информационной системы (АИС), осуществляемый с нарушением установленных прав и (или) правил доступа (ГОСТ Р 53114-2008)

Примечание. Несанкционированный доступ может быть осуществлен как преднамеренно, так и непреднамеренно.

Примечание 2. Права и правила доступа к информации и ресурсам АИС устанавливается для процессов обработки информации, обслуживания АИС, изменения программных, технических, информационных ресурсов, а также получения информации о них.

Несанкционированные действия – действия, целью которых является несанкционированное проникновение через преграждающие управляемые устройства (ГОСТ 51241-98)

2й вопрос. Уязвимые места в информационной безопас. организации.

В современных условиях следующие признаки могут свидетельствовать о наличии уязвимых мест в организации с точки зрения информационной безопасности:

Не разработаны положения по защите информации или они не соблюдаются

Не назначен ответственный за информационную безопасность

Не разработана или не соблюдается политика паролирования (пароли пишутся на терминалах, помещаются в другие общедоступные места, пароли знает не только собственных информационных ресурсов, но и системные администраторы и т.д.)

Удаленные терминалы и компьютеры остаются без присмотра в рабочие и не рабочие часы. Данные отображаются на компьютерных экранах, оставленных без присмотра.

Не существует ограничений на доступ к информации или на характер ее использования

Все пользователи имеют доступ ко всей информации и могут использовать все функции системы

Не ведутся системные журналы, отсутствует и не хранится информация о том, кто и для чего использует компьютеры

Изменения в программы вносятся без предварительного разрешения руководства

Отсутствует документация или она не позволяет делать:

Понимать получаемые отчеты и формулы, по которым формируются результаты

Модифицировать программу

Готовить данные для ввода

Исправлять ошибки

Производить оценку мер защиты

Понимать сами данные, их источники, формат хранения, взаимосвязи между ними

Осуществляются многочисленные попытки войти в систему с неправильными паролями

Вводимые данные не проверяются на корректность и точность или при их проверке много данных отвергаются из-за ошибок, требуется сделать много исправлений в данных, не производятся записи в журналах об отвергнутых транзакциях

Имеют место выходы из строя системы, которые приносят большие убытки

Не производился анализ информации, обрабатываемой в компьютере, с целью определения необходимого для нее уровня безопасности

Мало внимания уделяется информационной безопасности. Хотя политика безопасности существует, но большинство сотрудников считает, что она не нужна

3й вопрос. Основные методические рекомендации о составлении перечня сведений, составляющих служебную тайну

Указом президента РФ от 6 марта 1998 года №188 определены служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с гражданским кодексом и федеральными законами. Здесь указаны общие признаки служебных сведений, подлежащих защите, и предполагается их конкретизация в развернутых Перечнях в органах государственной власти. При этом организацию работ по формированию такого перечня следует определять в специальном организационно-распорядительном документе: Положение о порядке разработки перечня сведений, составляющих служебную тайну организации или учреждения.

Служебная тайна – защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которым ограничен федеральным законом или в силу служебной необходимости (ГОСТ Р 51583-2000)

Данное положение относится к числу основных локальных актов предприятия служебного характера, регламентирующих отдельные направления осуществления делопроизводства при подготовке служебных документов.

Служебный документ – официальный документ, используемый в текущей деятельности организации. Учитывая эти требования, данное положение должно содержать следующие компоненты:

Методические указания по подготовке предложений и принятию решений о включении в перечень сведений, составляющих служебную тайну за структурное подразделение и организацию в целом

Перечень должностных лиц, имеющих право вносить предложения по изменению перечня сведений, составляющих служебную тайну предприятия

Порядок проведения административного расследования в случае несанкционированного распространения (разглашение, хищение, передача, утечка, копирование и т. д.)

Порядок наказания лиц, виновных в этом в соответствии с законодательством Российской Федерации

В настоящее время законодательством РФ установлено, что служебную тайну составляет информация о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (федеральный закон от 27 июля 2006 года №149-ФЗ).

4й вопрос. Характеристика работ по составлению перечня сведений, составляющих служебную тайну предприятия.

К таким сведениям относятся:

Информация, содержащая сведения, которые используют сотрудники организации в служебных целях; Данные, полученные в результате обработки служебной информации с помощью технических средств; Документы или носители, образующиеся в результате творческой деятельности сотрудников, и включающие в себя сведения любого происхождения, вида, назначения, которые необходимы для нормального функционирования организации.

В рамках ГОСТ Р 6.30-2003 определен перечень обязательных реквизитов (самый главный-текст). Таким образом, любая информация, изложенная в виде связанного текста, уже может рассматриваться как документ.

Примечание. Особый порядок существует только для документов, полученных из АИС, где применяется процедура заверения ЭЦП.

Сведения, которые включаются в перечень сведений, составляющих служебную тайну организации, лежат в области интеллектуальной, материальной, финансовой собственности и других интересов. Данные сведения получаются в результате организации непосредственной трудовой деятельности работника, а также при сотрудничестве работника с организациями. Такая специфика требует тщательной проработки всех разделов и пунктов. Поэтому, для проведения работ по составлению перечня целесообразно привлекать представителей следующих служб:

Юридических служб; Финансово-экономических служб; Режимно-секретных; Должностных лиц из руководства организации

Это нужно для того, чтобы ни одно из направлений деятельности не было упущено. Руководство по разработке перечня возлагается на заместителя, отвечающего за режим. Для непосредственного формирования перечня рекомендуется создать постоянно действующую экспертную комиссию (ПДЭК). При этом комиссия должна осуществлять следующие функции:

Анализ оперативно-служебной деятельности (уставной); Координация всех вопросов, касающихся формирования перечня; Обобщение поступающих предложений; Работа по формированию перечня включает следующие этапы:

Составление предварительного перечня для структурных подразделений, отделов и служб; Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, включаемых в перечень; Определение преимуществ открытого использования сведений по сравнению с режимом ограниченного распространения; Определение затрат на защиту;Принятие решений о включении сведений в окончательный вариант перечня и составление обобщенного перечня, который рассматривается на заседании экспертной комиссии;Оформление результатов работы комиссии по разработке перечня, его согласование и утверждение

5й вопрос. Характеристика работ по составлению предварительного перечня сведений, составляющих служебную тайну для структурных подразделений организации

В соответствии с распоряжением ответственного за разработку перечня сведений, составляющих служебную тайну, руководители структурных подразделений направляют в постоянно действующую экспертную комиссию перечень сведений, составляющих служебную тайну подразделения. ПДЭК рассматривает предложения структурных подразделений с точки зрения оценки достаточности запланированных мероприятий по защите информации с учетом используемых методов и технологий, а также вероятности использования полученной информации техническими разведками, конкурентами, террористическими и криминальными структурами. При этом каждая группа сведений и отдельная информация должна оцениваться по степени важности. При этом, сведения, переносимые из предварительного в обобщенный вариант перечня за организацию в целом, должны иметь четкую и конкретную формулировку, исключающую недостаточность их понимания.

6й вопрос. Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, составляющих служебную тайну

При определении возможного ущерба от несанкционированного распространения информации комиссия должна конкретно определить ущерб, который может быть нанесен организации. Возможный ущерб должен оцениваться с использованием качественных или количественных показателей, влияющих на состояние защиты охраняемых сведений и исключающих возможность нанесения организации морального, материального, производственного, финансового и другого урона. Количественные (стоимостные) показатели возможного ущерба должны определяться уровнем снижения эффективности в какой-либо области деятельности организации (в основном, производственной и финансовой деятельности). Качественные показатели возможного ущерба определяются степенью возможности срыва получения определенных преимуществ в достижении поставленной цели. В тоже время, при качественной или количественной оценке ущерба, который может понести организация при разглашении этих сведений, должны учитываться потери, возникающие не только в настоящее время, но и в будущем, а также возможность нанесения ущерба взаимодействующим организациям. В уголовном кодексе РФ установлено, что крупным ущербом, либо задолженностью в крупном размере, признается стоимость, ущерб, доход или задолженность в сумме, превышающей 250 000 рублей, особо крупным – 1 000 000 рублей. При невозможности оценить ущерб в стоимостном (количественном) эквиваленте, допускается проводить оценку с помощью качественных показателей или факторов. В любом случае, качественный или количественный анализ оценке ущерба позволяет комиссии определить конкретные сведения, которые жизненно важно нужно защищать. Ущерб должен оцениваться по служебным сведениям, за исключением:

Сведений, охраняемых службой режима с помощью государственной системой защитных мер по защите государственных секретов

Сведений, являющихся общедоступными на законном основании

Учредительных документов и устава

Документов, дающих право заниматься основной деятельностью (лицензия, патенты, регистрационные удостоверения и т.д.)

Сведений по установленным формам отчетности о финансово-хозяйственной деятельности и других сведений, необходимых для проверки правильности исчисления и уплаты налогов, а также других обязательных платежей в государственную бюджетную систему России

Документов платежеспособности, сведений о численности, составе работающих, их зарплате, условиях труда, а также о наличии свободных мест

Документов об уплате налогов и обязательных платежах

Сведений о загрязнениях окружающей среды, нарушениях антимонопольного законодательства, несоблюдения безопасных условий труда, несоблюдения условий реализации продукции, причиняющей вред здоровью населения, а также другие нарушений законодательства России и размерах причиненного ущерба

Сведений и материалов научно-технического характера после публикации

Сведения статистического характера, передаваемых в соответствующие государственные органы и общественные организации без установления режима конфиденциальности их использования

При оценке количественных и качественных показателей ущерба должен учитываться ряд отрицательных последствий:

Срыв или невыполнение планов работ и контрактов, договорных обязательств

Снижение эффективности решаемых задач и уровня сотрудничества с организациями и предприятиями по различным вопросам взаимодействия

Создание трудностей в организации, эффективности защиты объектов и проводимых работ

Необходимость дополнительных мер на проведение исследований и работ для сохранения эффективности решения задач в области уставной деятельности организации

Потеря приоритета в использовании эффективных технологиях

Престижные и моральные факторы, связанные с потерей эффективности решаемых задач в области деятельности организации

7й вопрос. Определение преимуществ открытого использования сведений, составляющих служебную тайну

При определении преимуществ открытого использования сведений, составляющих служебную тайну по сравнению с их закрытым использованием ПЭДК должна оценить и установить все положительные и отрицательные факторы, которые указывают на возможность (допустимость) открытого использования рассматриваемых сведений по сравнению с закрытым. Факторы, указывающие на необходимость и преимущество открытого использования сведений, составляющих служебную тайну, должны определяться аналитическим путем (ПДЭК). В результате аналитического анализа образуются материалы, которые позволяют получить следующие результаты:

Финансовые и другие экономические обоснования оценки получения прибыли от открытого использования служебной информации

Оценка финансовых затрат на проведение мероприятий, направленных на обеспечение безопасности и деятельности организации

8й вопрос. Определение затрат на защиту сведений, составляющих служебную тайну

Защита сведений, составляющих служебную тайну, предусматривает проведение ряда организационно-технических мероприятий, направленных на решение вопроса обеспечения информационной безопасности. При этом, в бюджете организации должны быть предусмотрены затраты на финансирование следующих организационно-технических мер:

Создание и оборудование рабочих мест, связанных с выполнением задач по обеспечению защиты служебной тайны

Увеличение штатной численности службы безопасности, а также технических средств охраны и их содержание

Организация дополнительной проверки допуска к документам и работам конфиденциального характера необходимого числа сотрудников организации

Организация дополнительной технической защиты информации и специальной охраны объекта информатизации и носителей информации с точки зрения обеспечения информационной безопасности

Других мероприятий, в зависимости от объёмов работы по обеспечению требуемого режима обеспечения безопасности

Затраты на защиту сведений, составляющих служебную тайну, должны учитываться при определении ущерба, наносимого в результате несанкционированного распространения защищаемой информации.

9й вопрос. Принятие решения о включении сведений в окончательный вариант перечня и оформление проекта перечня

В обобщенный вариант перечня должны включаться все сведения служебного характера организации, для которых величина морального и материального ущерба от несанкционированного распространения выше суммарного показателя затрат при их закрытом использовании.

По результатам работы комиссии оформляется проект перечня, который подписывается председателем комиссии. Подписанный перечень утверждается руководителем организации.

Примечание. К проекту перечня могут прилагаться рабочие материалы с обоснованием необходимости включения в него тех или иных сведений. Эти материалы должны быть подписаны всеми членами комиссии. Кроме того, в проект перечня могут быть включены также сведения служебного характера сторонних организаций.

Степень конфиденциальности таких сведений должна устанавливаться по согласованию с собственником этих сведений. При оформлении перечня указываются также сроки действия их конфиденциальности. Вместо указания срока действия конфиденциальности могут приводиться обстоятельства или события (в графе «Замечания» или «Особые отметки»). Это означает, что, при наступлении определенного события возникает необходимость изменения пометки конфиденциальности вплоть до полного открытия сведений. Решение об открытии конкретного сведения (снятие конфиденциальности) принимает руководитель. Утвержденный перечень вводится в действие приказом руководителя организации. Сотрудники, которые допускаются к сведениям, составляющим служебную тайну, должны ознакомиться под расписку с этим приказом и перечнем. Сотрудник, получивший доступ к сведениям и документам, должен подписать индивидуальное письменное обязательство о неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее трех лет после его увольнения (от трех до пяти, в зависимости от ценности). Пересмотр перечня сведений, составляющих служебную тайну, а также внесение в него изменений или дополнений, должны осуществляться по мере необходимости. Порядок пересмотра и внесения изменений такой же, как при формировании. Постоянный контроль за эффективностью защиты служебной тайны и правильностью использования перечня возлагаются на заместителя руководителя организации, отвечающего за режим. Вопросы организации такого контроля обязательно отражаются в годовом плане мероприятия по защите служебной тайны.

Лекция 3 Организация взаимодействия юридических лиц с органами власти при проведении совместных работ с конфиденциальной информацией

Цель занятия – рассмотреть особенности взаимодействия органов власти с предприятиями, учреждениями, организациями при проведении работ с конфиденциальной информацией

1й вопрос. Основы организации взаимодействия органов власти и юридических лиц.

Независимо от места проведения работы, при взаимодействии органов власти и юридических лиц должна обеспечиваться защита информации. В настоящее время взаимодействие юридических лиц и органов власти при проведении совместных работ с конфиденциальной информацией заключается также в выполнении требований, вытекающих из действующих норм законодательства по защите информации. Основные требования при этом представляют:

Требования к защите информации должны иметь статус обязательных для любых организаций, независимо от формы собственности.

Для того чтобы эти требования более жестко выполнялись (были обязательными для выполнения), необходимо такие требования сформулировать в виде предписаний персоналу, как хозяйствующего субъекта, так и органа власти, и утвердить организационно-распорядительным документом (совместный приказ).

Требования по защите должны быть сформулированы для всех сервисов, средств и мер защиты. При этом технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах (ГИС), в том числе программно-технические средства (ПТС) и средства защиты информации (СЗИ) должны соответствовать требованиям законодательства РФ по техническому регулированию.

Основными целями защиты конфиденциальной информации в таком случае является выполнение следующих условий:

Предотвращение возможности получения защищаемых сведений об организации конкурентами, криминальными структурами или техническими разведками.

Предотвращение несанкционированного доступа посторонних лиц к защищаемой информации.

Соблюдение правового режима использования информационных ресурсов и систем, обеспечение полноты, целостности, достоверности информации в информационной системе юридического лица.

Предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения работниками.

Предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в информационной системе организации.

Предотвращение утрат, уничтожения или сбоя функционирования носителей защищаемой информации.

Сохранение возможности управления процессом обработки и использования информации допущенными сотрудниками организации, которые являются операторами информационной системы.

Примечание. В технических заданиях, договорах и контрактах на выполнение совместных работ с использованием конфиденциальной информации должны быть предусмотрены требования или меры по технической защите такой информации, которые обязательно выполняются каждой из сторон. Также в них согласовывается с подразделениями по технической защите конфиденциальной информации, администрации и взаимодействующих хозяйствующих субъектов. Непосредственная организация технической защиты возлагается на руководителей совместных работ, а ответственность за обеспечение технической защиты информации – на исполнителей работ (пользователей) при использовании ими технических средств для обработки и передачи информации, подлежащей защите.

2й вопрос. Организация передачи конфиденциальной информации государственным органам.

В настоящее время органам государственной власти, учреждениям, предприятиям в процессе своей деятельности приходится иметь дело с запросами сторонних организаций опредоставлении какой-либо информации, в том числе относящейся к категории конфиденциальной. Конфиденциальная информация может запрашиваться государственными органами с целью создания собственных информационных массивов, контрольно-ревизионных проверок, приобщение к материалам уголовных и административных дел и так далее. Исполнение таких запросов должно происходить в соответствии с требованиями законодательства, в первую очередь в соответствии с федеральным законом№149-ФЗ, указах президента, правительства, федеральных органов исполнительной власти. При этом предоставление информации - это действие, направленное на получение информации определенным кругом лиц или направленные на передачу информации определенному кругу лиц. При этом важно учесть, что передающий информацию надеется на ее сохранность и нераспространение. Принимающий конфиденциальную информацию также заинтересован в сохранении ее в тайне, поскольку сам характер этой информации представляет собой служебную тайну государственного органа, так как раскрывает круг интересов государственного органа. Разглашение такой информации может принести сторонам определенный ущерб.

Конфиденциальность – доверие. Конфиденциальная информация - информация с ограниченным доступом, которая не содержит государственную тайну. При этом следует обратить особое внимание на сохранность этой информации и выполнение требований по рассылке конфиденциальной информации заказными, ценными почтовыми отправлениями или с помощью системы фельдсвязи. В соответствии с законодательством, перечень конфиденциальной информации установлен указом президента №188 1997 года:

Персональные данные; Тайны следствия и судопроизводства; Служебная тайна; Профессиональная тайна; Коммерческая тайна; Ноу-хау

По всем этим видам тайн возможна организация передачи конфиденциальной информации в государственные органы. При этом следует учитывать признаки и условия охраноспособности права на конфиденциальную информацию:

Информация должна быть документирована

Информация должна соответствовать ограничениям, установленным законодательством. Например, статья 8 закона 149-ФЗ запрещает ограничивать доступ к следующим сведениям:

Нормативные правовые акты, которые затрагивают права, свободы, обязанности человека и гражданина, а также устанавливают правовое положение организаций и полномочия государственных органов и органов местного самоуправления.

Информация о состоянии окружающей среды.

Информация о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну).

Информация, накапливаемая в открытых фондах библиотек, музеев, архивов, а также государственных, муниципальных и других информационных системах, созданных или предназначенных для обеспечения физических лиц и организаций такой информацией

Другой информацией, недопустимость ограничения доступа к которой установлена другими федеральными законами.

Законодательством РФ установлено, что защита информации предусматривает принятие собой правовых, организационных и технических мер, направленных на достижение следующих целей:, организационных и технических мер, направленных на достижение следующих целей:

Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации

Соблюдение конфиденциальности информации ограниченного доступа

Реализация права на доступ к информации

Использование полученной конфиденциальной информации в государственных органах.

Запрашивающие и получающие информацию государственные органы во всех случаях не становятся собственниками. Поэтому они не имеют права распоряжаться полученной информацией по своему усмотрению,более того, обязаны обеспечить ее сохранность и конфиденциальность. Если в государственный орган поступил запрос получения или просьба по предоставлению информации, не предусмотренный действующим законодательством или совместными соглашениями или приказами, то они исполнению не подлежат. Действующее законодательство РФ предусматривает ответственность за нарушение режима и правил предоставления информации. В соответствии со статьей №6 федерального закона о коммерческой тайне, обладатель информации, составляющей коммерческую тайну, по мотивированному требованию органа власти предоставляет на безвозмездной основе информацию, составляющую коммерческую тайну. Мотивированное требование должно быть подписано должностным лицом, содержать указание цели или правового основания за требование информации, составляющей коммерческую тайну, а также срок предоставления информации (если иное не установлено федеральными законами). В случае отказа обладателя информации, составляющей коммерческую тайну, предоставить ее органу государственной власти (органу местного самоуправления), перечисленные органы вправе затребовать информацию в судебном порядке. Обладатель информации, составляющей коммерческую тайну, а также органы государственной власти, а также иные органы, органы местного самоуправления, получившие такую информацию, обязаны предоставить эту информацию по запросу судов, органов предварительного следствия, а также органам дознания по делам, которые находятся в их производстве. Порядок и основания предоставления предусмотрены законодательством РФ. Налоговые, таможенные и контрольные органы власти имеют широкие полномочия получения информации от организации. Налоговые органы РФ вправе производить у любых субъектов налогообложения следующие операции:

Проверка финансовых документов, бухгалтерских отчетов, планов, смет.

Проверка других документов, связанных с исчислением и уплатой налогов и других обязательных платежей бюджета

Получать необходимые справки и сведения за исключением сведений, составляющих государственную тайну. При этом следует строго исходить из требований законодательства РФ

В интересах соблюдения закона 149-ФЗ было подготовлено письмо ГосНалогСлужбы от 25 апреля 1997 года №ИЛ-6-24/321 «Об обеспечении конфиденциальности в работе с налоговыми декларациями». В данном письме указывается, что работа с декларациями о совокупном годовом доходе физических лиц становится одним из наиболее ответственных направлений в деятельности налоговых органов и требует строгого соблюдения законодательства об обеспечении сохранности и конфиденциальности предоставляемых налогоплательщиками сведений. Таким образом, налоговая декларация является документом, содержащим сведения ограниченного распространения, и налоговые органы не являются собственником такой информации, поэтому не могут распоряжаться по своему усмотрению, и обязаны обеспечить сохранность и конфиденциальность. Вместе с тем, на основании статьи №109 уголовно-процессуального кодекса РФ (УПК РФ) без согласия налогоплательщика предоставляется конфиденциальная информация только в судебные и правоохранительные органы в связи с возбуждением уголовного дела или при проведении проверки. Во всех налоговых инспекциях должен быть установлен порядок, обеспечивающий персональную ответственность за сохранность налоговых деклараций и исключающий несанкционированный доступ к ним. По каждому факту утраты деклараций и разглашению содержащихся в них сведений предписано проводить служебное расследование, о результатах и принятых мерах докладывать в налоговую службу. Обмен конфиденциальной информацией с органами таможенного контроля осуществляется на основании таможенного кодекса. При этом любая конфиденциальная информация, полученная таможенными органами, может использоваться только в таможенных целях. При этом сотрудники таможенного органа не вправе разглашать, использовать в личных целях или передавать третьим лицам полученную информацию. Таможенные органы могут передавать предоставленную им информацию другим органам власти, если такая информация необходима указанным органам для решения задач, возложенным на них законодательством РФ. При этом порядок передачи должен быть согласован. В этих случаях обязательно соблюдение требований законодательства по защите информации ограниченного распространения. Должностные лица органов власти не имеют право разглашать, передавать и использовать в личных целях полученные сведения, за исключением случаев, установленных законодательством РФ.

Особенности передачи полученной конфиденциальной информации в другие государственные органы.

Передача конфиденциальной информации о налогоплательщиках без их согласия разрешается только в правоохранительные и судебные органы в строго установленном порядке, то есть по официальным мотивированным письменным запросам в связи с возбужденным уголовным делом. При этом, запросы о финансово-экономической деятельности юридических и физических лиц и копии документов должны подписываться лицом, проводящим расследование, а при проведении проверки-прокурором (уполномоченным лицом ОВД) с указанием должности, фамилии и номера телефона.

Правоохранительным и судебным органам налоговые органы могут предоставить следующие сведения:

ИНН

Перечень расчетных, текущих и других счетов

Наименование и местонахождение банков и других кредитных организаций, в которых открыты счета

Местонахождение налогоплательщика (если известно)

Уплата налогоплательщиком налогов и других обязательных платежей

Информация о финансово-хозяйственной деятельности по установленным формам отчетности. При этом истребование копий документов, оригиналы которых находятся в других организациях, и получение с них копий производится с согласия начальника налоговых органов, когда по обстоятельствам дела установление местонахождения подлинника может затянуть расследование или принятие решения по делу или материалу. С органами таможенного контроля обмен конфиденциальной информацией осуществляется на основании таможенного кодекса.

Конфиденциальная информация арбитражным судам и судам общей юрисдикции предоставляется непосредственно в суд по официальному мотивированному письменному запросу судьи. На основании федерального закона от 21 июля 1991 №119 «Об исполнительном производстве» судебным приставам-исполнителям в трехдневный срок после получения письменного запроса предоставляются сведения о наличии или об отсутствии у должника организации счетов в банках и других кредитных организациях. После получения письменного заявления с приложенной копией исполнительного листа с не истёкшим сроком давности предоставляются номера счетов и других банковских реквизитов. При необходимости конфиденциальная информация может предоставляться депутатам совета федерации и государственной думы.Также налоговые органы обязаны оказывать содействие деятельности счетной палаты РФ и предоставлять по ее запросам информацию о результатах проводимых ревизий и проверок. Органы государственной статистики и налоговые органы осуществляют информационное взаимодействие в соответствии с приказом от 22 августа 1996 № ВА-3-09/71«По валютному и экспертному договору» информация предоставляется государственной налоговой службе России и федеральной службе по валютному и экспертному контролю. На основании письменного запроса полномочного представителя президента могут быть предоставлены следующие сведения:

Открытые сведения о проверках государственных налоговых инспекций по субъекту РФ

О количестве проверок налогоплательщиков по вопросам соблюдения налогового законодательства.

О суммах до начислений в бюджеты различных уровней по видам налогов

О видах нарушений налогового законодательства

Иностранным организациям и гражданам, которые не зарегистрированы в налоговых органах России в качестве налогоплательщиков, не допускается предоставление служебной информации.

В рамках международного сотрудничества информационное взаимодействие осуществляется в порядке, установленном соответствующей инструкцией ГосНалогСлужбы.

Примечание. Одним из направлений деятельности налоговых органов является работа с декларациями совокупном годовом доходе физических лиц. Такая работа является деятельностью, связанной с информацией ограниченного распространения, и требует строгого соблюдения законодательства об обеспечении сохранности и конфиденциальности предоставляемых налогоплательщиками сведений, поскольку налоговая декларация является документом, который содержит сведения ограниченного распространенияи защищается налоговыми органами. С этой целью учет, хранение, использование и уничтожение налоговой декларации должны осуществляться в строгом соответствии с инструкцией. При этом в случае поступления запросов и обращений в налоговый орган с целью получения сведений, содержащихся в налоговых декларациях, следует исходить из того, что налоговые органы не являются собственником информации, содержащейся в налоговых декларациях, не могут распоряжаться по своему усмотрению, и обязаны обеспечивать их сохранность и конфиденциальность.

5й вопрос. Особенности предоставления конфиденциальной информации без согласия налогоплательщиков

Предоставление конфиденциальной информации налогоплательщика без его согласия возможно только в судебные и правоохранительные органы и в строго определенных случаях, то есть по официальным мотивированным запросам в связи с возбуждением уголовного дела. При этом должен существовать порядок, обеспечивающий персональную ответственность за сохранность налоговой декларации, исключающий несанкционированный доступ к ней. По каждому факту утраты деклараций и разглашения сведений должно проводиться тщательное служебное расследование. В случаях, не предусмотренных законодательством, запросы, поручения и просьбы не выполняются. Система правоохранительных органов входят прокуратура, органы обеспечения государственной безопасности и другие. Все перечисленные органы вправе на определенных основаниях, установленных законом, получать сведения без согласия налогоплательщика, в том числе конфиденциальные. Правоохранительные органы, в соответствии с законодательными актами об этих органах (положениях), при наличии данных, влекущих уголовную или административную ответственность, имеют право изымать необходимые документы путем их выемки или обыска. Основанием для производства выемки служит необходимость изъятия документов, имеющих значение для дела. Выемка производится по мотивированному постановлению следователя.

Лекция 4 Организационное обеспечение информационной безопасности при использовании общедоступных информационно-телекоммуникационных
сетей

Цель занятия – рассмотреть, что такое ОИТКС и почему нужно обеспечиватьих безопасность.

1й вопрос. Правовое обеспечение использования ОИТКС.

ИТКС – это технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств электронно-вычислительной техники (149-ФЗ).

В настоящее время, на основании федерального закона о связи, для оказания услуг связи в пределах мировых ИТКС на территории России является обязательным выполнение следующих условий:

Создание российских сегментов связи, которые являются частью мировых сетей и обеспечивают взаимодействие с единой сетью связи России.

Создание российских операторов связи, которые отвечают требованиям, предъявляемым к ним федеральным законом о связи.

Обеспечение экономической, общественной, оборонной, экологической, информационной и других видов безопасности.

В развитие положений этих законов Министерством Связи приказом от 11 декабря 2006 года №166 утверждены Правила создания средств связи, используемых для обеспечения доступа к информации в ИТКС, передачи сообщений электронной почтой и факсимильных сообщений. При этом под средствами связи понимают технические и программные средства, включающие любое из перечисленных технических средств, либо их комбинацию (два или более):

Технические средства обмена электронными сообщениями, включая технические средства электронной почты, передачи голосовой информации электронной почтой, технические средства коротких текстовых сообщений и мультимедийных сообщений.

Информационные технические средства в части технических средств доменных имен, технических средство доступа к информационным ресурсам, технических средств управления.

Технические средства удаленного доступа, включая туннелирование

Технические средства аутентификации и идентификации

Технические средства передачи факсимильных сообщений

Примечание. Средства связи, предназначенные для обеспечения доступа к информации в ИТКС, а также передачи сообщений электронной почтой и факсимильные сообщения, подлежат обязательному декларированию.

2й вопрос. Основные требования к средствам связи, используемые для обеспечения доступа к информации.

Среди требований к средствам связи, используемым для обеспечения доступа, можно выделить 7 групп требований:

Взаимодействие средств связи, используемых для обеспечения доступа информации в ИТКС, передачи сообщений электронной почтой и факсимильной системой осуществляется по протоколам транспортного уровня (TCP, UDP)

TransmissionControlProtocol (TCP) (протокол управления передачей) — один из основных сетевых протоколов Интернета, предназначенный для управления передачей данных в сетях и подсетях TCP/IP

UDP (англ. UserDatagramProtocol — протокол пользовательских дейтаграмм) — это транспортный протокол для передачи данных в сетях IP без установления соединения.

Технические средства обмена электронными сообщениями обеспечивают выполнение следующих функций:

Обмен электронными сообщениями

Идентификация по введенным параметрам

Проверка наличия свободного дискового пространства

Информационные технические средства обеспечивают выполнение следующих функций:

Выдача информации по запросам

Идентификация по введенным параметрам

Технические средства удаленного доступа обеспечивают выполнение следующих функций:

Индикация работающих процессов; Добавление нового регистрационного имени и соответствующего ему набора параметров; Изменение набора параметров, соответствующих регистрационному имени;

Удаление регистрационного имени и его параметров;

Аутентификация по введенным идентификационным параметрам и выдача набора параметров;

Аутентифика́ция (англ. Authentication) — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

Авторизация по введенным идентификационным параметрам;

Авторизация (англ. authorization):

Процесс предоставления определенному лицу прав на выполнение некоторых действий.

Процесс подтверждения (проверки) прав пользователей на выполнение некоторых действий

Проверка прав пользователя на осуществление транзакций, проводимая в точке обслуживания, результатом которой будет разрешение или запрет операций клиента (например, совершения акта купли-продажи, получения наличных, доступ к ресурсам или службам).

Обеспечение доступа к информации в соответствии с правами доступа.

Технические средства аутентификации и идентификации обеспечивают выполнение следующих функций:

Проверка наличия свободного дискового пространства;

Индикация выполняемых техническим средством задач;

Добавление нового регистрационного имени и соответствующего ему набора параметров;

Изменение набора параметров, соответствующих регистрационному имени;

Удаление регистрационного имени и его параметров;

Аутентификация по введенным идентификационным параметрам и выдача набора параметров.

Технические средства передачи факсимильных сообщений обеспечивают выполнение следующих функций:

Контроль доступа к оказываемым услугам;

Передача одноадресного сообщения;

Обеспечение идентификации сообщения;

Передача сообщений в соответствии с их классами доставки (срочное, обыкновенное, несрочное);

Извещение о недоставке;

Повторная попытка доставки сообщений при недоступности технических средств факсимильных сообщений;

Регистрация вызовов.

При реализации технических средств электронной почты выполняются следующие функции:

Аутентификация по введенным идентификационным параметрам;

Выдача сообщений на устройства отображения в соответствии с введенным регистрационным именем (адресом);

Отправка сообщений в соответствии с введенным адресом или несколькими адресами;

Добавление нового адреса электронной почты;

Блокировка адреса электронной почты;

Организация очереди для отправки сообщений;

Прием, хранение, передача в сообщениях электронной почты файлов, соответствующих формату MIME;

Переблокировка адреса электронной почты.

Особенности использования сетей связи общего пользования

В настоящее время сети, которые используются для предпринимательской деятельности, имеют особенности:

Сеть связи общего пользования представляет собой комплекс взаимодействующих сетей электросвязи;

Сеть связи общего пользования предназначена для возмездного оказания услуг электросвязи;

Услуги связи оказываются любому пользователю на территории РФ

Сеть связи общего пользования включает в себя сети электросвязи, определяемые географически в пределах обслуживаемой территории и ресурснумерации, и не определяемые географически в пределах территории РФ и ресурса нумерации, а также сети и связи, определяемые по технологии реализации оказания услуг связи;

Сеть связи общего пользования имеет присоединения к сетям связи общего пользования иностранных государств;

Сеть связи общего пользования может включать в себя сети связи для распространения программ телевизионного вещания и радиовещания.

Вывод. Таким образом, сеть связи общего пользования – совокупность сетей электросвязи, имеющих технические, организационные и другие возможности взаимодействовать друг с другом с целью осуществления предпринимательской деятельности по оказанию услуг электросвязи

Примечание. Для возмездного оказания услуг электросвязи, если иное не предусмотрено законодательством России, не могут использоваться сети связи специального назначения, которые предназначены для нужд государства, безопасности государства и обеспечения правопорядка.

Объединенные требования к ИТКС общего использования

На территории России использование ИТКС осуществляется с соблюдением законодательства в области связи (126-ФЗ), 149-ФЗ а также других нормативно-правовых актов. Федеральными законами может быть предусмотрена обязательная идентификация личности и организации, которые используют ИТКС при осуществлении предпринимательской деятельности. При этом получатель электронного сообщения, находящийся на территории России, вправе провести проверку, позволяющую установить отправителя электронного сообщения. В некоторых случаях, если это установлено законом или соглашением сторон, такая проверка проводится обязательно.

Электронное сообщение – информация, переданная или полученная пользователем ИТКС

Электронный документ – документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком, с использованием ЭВМ, а также для передачи в ИТКС или для обработки в информационных системах.

Документированная информация – зафиксированная на материальном носителе путем документирования информация, с реквизитами, позволяющими определить такую информацию или в установленных законодательством РФ случаях ее материальный носитель. (149-ФЗ)

Регулирование использования ИТКС, доступ к которым неограничен определенным кругом лиц, в России осуществляется с учетом международной практики. Порядок использования других ИТКС определяется владельцами таких сетей с учетом требований, установленным ФЗ о связи.

Примечание. Использование на территории России ИТКС в хозяйственной или другой деятельности не может служить основанием для установления дополнительных требований или ограничений, которые касаются регулирования указанной деятельности, осуществляемой без использования таких сетей, а также для несоблюдения требований, установленных законодательством.

Передача информации посредством использования ИТКС осуществляется без ограничений при условии соблюдения установленных федеральными законами требований к распространению информации и охране объектов интеллектуальной собственности. Передача информации может быть ограничена только в порядке и на условиях, которые установлены федеральными законами. Особенности подключения государственных информационных систем к ИТКС устанавливаются или Президентом, или Правительством. В настоящее время, действует постановление правительства от 18 мая 2009 года №424 «Об особенностях подключения федеральных государственных информационных систем к ИТКС»

Особенности режима ограничения передачи информации

Ограничение передачи информации с помощью ИТКС базируется на следующих основаниях:

Ограничение распространения информации, предусмотренные законодательством об авторском праве

Ограничения распространения информации, предусмотренные законодательством о тайнах

6й вопрос. Регулирование подключения федеральных государстенных информационных систем к ИТКС

Постановлением №424 от 18 мая 2009 года определено:

1.Операторы федеральных государственных информационных систем, которые созданы или используются в целях организации полномочий органов власти всех уровней, содержащие сведения, которые обязательны для размещения в сети Интернет (постановление от 12 февраля 2003 года № 98 «об обеспечении доступа к информации о деятельности государственных органов») при подключении систем общего пользования к ИТКС обязаны обеспечить:

Защиту информации, содержащейся в информационных системах общего пользования от уничтожения, изменения и блокирования доступа к ней;

Постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования;

Восстановление информации, измененной или уничтоженной вследствие НСД к ней в течение не более 8 часов;

Использование при подключении ИСОП к ИТКС средств защиты информации, которые прошли оценку соответствия (в том числе, в установленных случаях, сертификацию) в порядке, установленном законодательством РФ;

Операторы ИСОП и операторы связи обязаны обеспечивать информационную безопасность при подключении ИСОП в ИТКС;

Финансирование мероприятий осуществляется за счет средств, предусмотренных постановлением правительства №98 от 12 февраля 2003.

Перечисленные требования и особенности рекомендуется учитывать органам государственной власти, субъектам РФ при подключении региональных государственных информационных систем к ИТКС, доступ к которым неограничен определенным кругом лиц.

Примечание. Установлено, что требования по защите информации, содержащейся в ОИТКС или в ИСОП, разрабатываются ФСБ России и ФСТЭК России

Характеристика требований к защите информации, содержащейся в информационных системах общего пользования.

Эти требования определены в совместном приказе ФСБ и ФСТЭК от 31 августа 2010 года №416/489. Эти требования распространяются на федеральные государственные информационные системы, которые созданы или используются в целях реализации полномочий федеральных органов исполнительной власти, и содержат те сведения о деятельности правительства России и федеральных органов исполнительной власти, которые обязательны для размещения в сети Интернет. На основании данного приказа ИСОП должны обеспечивать:

Сохранность и неизменность обрабатываемой информации при несанкционированном или непреднамеренном (случайном) воздействии на нее в процессе обработки или хранения (целостность);

Беспрепятственный доступ пользователей к содержащейся в ИСОП информации (доступность);

Защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования ИСОП, приводящих, в том числе, к уничтожению, модификации и блокированию информации (неправомерные действия).

ИСОП включают в себя:

Средства вычислительной техники;

Информационно-вычислительные комплексы и сети;

Средства и системы передачи, приема и обработки информации

Средства изготовления, тиражирования документов;

Другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации;

Программные средства;

Средства защиты информации.

Информация, которая содержится в ИСОП, является общедоступной.

В целом, ИСОП, в зависимости от значимости, содержащейся в ней информации, разделяется на два класса:

ИСОП правительства РФ, в которых из-за нарушения целостности может возникнуть угроза безопасности РФ

Примечание. Отнесение ИСОП к первому классу проводится по решению руководителя соответствующего федерального органа исполнительной власти

ИСОП, не указанные в первом классе

Защита информации, содержащейся в ИСОП первого и второго класса, достигается путем исключения неправомерных действий в отношении указанной информации. Методы и способы защиты информации в ИСОП определяются оператором ИСОП и должны соответствовать требованиям 416/489. Достаточность принятых мер по защите информации в ИСОП оценивается в следующих случаях:

При проведении мероприятий по созданию данной системы

В ходе проведения мероприятий по контролю их функционирования

Работы по защите информации в ИСОП являются неотъемлемой частью работ по созданию данных систем и должны удовлетворять следующим требованиям:

Размещение ИСОП, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях, должна обеспечивать сохранность носителей информации и средств защиты информации;

Размещение специального оборудования, охрана и организация режима должны исключать возможность неконтролируемого проникновения.

В процессе эксплуатации защиту информации в ИСОП обеспечивает оператор ИСОП. С этой целью должны быть выполнены следующие требования:

Поддержание целостности и доступности информации;

Предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;

Проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;

Своевременное обнаружение фактов неправомерных действий в отношении информации;

Недопущение воздействий на технические средства ИСОП, в результате которых может быть нарушено их функционирование;

Возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;

Проведение мероприятий по постоянному контролю за обеспечением защищенности ИСОП;

Возможность записи и хранения сетевого трафика.

8й вопрос. Организационное обеспечение информационной безопасности ИСОП

Для разработки и осуществления мероприятий по защите информации в ИСОП оператором ИСОП назначается структурное подразделение или работник, которые отвечают за защиту информации. При этом организационные мероприятия включают следующие элементы:

Определение угроз безопасности информации и формирование на их основе модели угроз;

Разработку на основе модели угроз системы защиты информации, которые обеспечивают нейтрализацию потенциальных угроз с использованием таких методов и способов защиты информации, которые предусмотрены для соответствующего класса ИСОП;

Проверка готовности средств защиты информации к использованию (с составлением заключения о возможности их эксплуатации);

Установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

Обучение лиц, использующих средства защиты информации, применяемых в ИСОП, правилам работы с ними;

Учет применяемых средств защиты информации эксплуатационной и технической документации к ним;

Контроль за соблюдением условий использования средств защиты информации, предусмотренные эксплуатационной и технической документацией;

Проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности ИСОП. Разработка и принятие мер по предотвращению возможных опасных последствий данных нарушений

Описание системы защиты ИСОП. Запросы пользователей на получение информации, которая содержится в ИСОП, а также факты предоставления такой информации по запросам регистрируются автоматизированными средствами ИССОП в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами. При обнаружении нарушения порядка доступа к информации оператор ИСОП организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке.

Подсистема информационной безопасности ИСОП должна обеспечивать восстановление информации, модифицированной или уничтоженной вследствие неправомерных действий.

Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.

Реализация требований по обеспечению защиты информации средствами защиты информации возлагается на их разработчиков.

Требования по защите информации в системах общего пользования первого класса.

Эти требования заключаются в:

Использовании средств защиты информации от неправомерных действий, в том числе СКЗИ (электронно-цифровой подписи, при этом они должны применяться к публикуемому информационному наполнению), сертифицированных ФСБ

Использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ

Использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированные ФСБ

Использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированные ФСБ

Осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации

Осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за 10 и более последних днейи предоставление доступа к записям по запросам государственных органов, осуществляющих оперативно-розыскную деятельность

Обеспечение защиты технических и программных средств ИСОП, и от несанкционированного доступа к помещениям, в которых находятся данные средства с использованием технических средств охраны, в том числе систем видеонаблюдения, предотвращающих проникновение в помещения недопущенных лиц

Осуществление регистрации действий обслуживающего персонала и пользователей

Обеспечение резервирования технических и программных средств дублированием носителей и массивов информации

Использование сертифицированных в установленном порядке систем обеспечения гарантированного электропитания (источников бесперебойного питания)

Осуществление мониторинга защищенности ИСОП первого класса уполномоченным подразделением ФСБ России

Введение в эксплуатацию ИСОП первого класса только после направления оператором ИСОП в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствие требованиям к первому классу

Требования по защите информации ИСОП второго класса

Использование средств защиты от неправомерных действий, в том числе СКЗИ, сертифицированные ФСБ России, а для других средств – ФСТЭК

Использование средств обнаружения вредоносного программного обеспечения, сертифицированные ФСТЭК или ФСБ

Использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированные ФСТЭК или ФСБ

Использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированные ФСБ или ФСТЭК

Аналогично первому классу, но сертифицированные ФСТЭК или ФСБ

Аналогично первому классу, но последние сутки

Обеспечение защиты от воздействий на технические и программные средства ИСОП, в результате которых нарушается их функционирование и НСД к помещению

Только осуществление регистрации действий обслуживающего персонала.

Обеспечение частичного резервирования технических средств

Использование систем обеспечения гарантированного электропитания

Аналогично первому классу

Введение в эксплуатацию только после направления оператору во ФСТЭК уведомления о готовности

Лекция 5. Планирование мероприятий по организационному обеспечению ИБ ХС

Целью занятия является изучение основных приемов.

1. Основные цели планирования мероприятий по организационному обеспечению ИБ предприятия.

В современных условиях одной из наиболее важных направлений деятельности мероприятия осуществляющего работу со сведениями конфиденциального характера. Планирование мероприятий по защите конфиденциальной информации занимает особое место в деятельности предприятия и его структурных подразделений.

Защита информации это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. ГОСТ Р 50922 – 2006.

Основными целями планирования мероприятий по ЗИ являются:

· Организация проведения КОМПЛЕКСА мероприятий, направленных на исключение возможных каналов утечки этой информации, установление персональной ответственности всех должностных лиц предприятия за решение вопросов ЗИ в ходе производственной и иной деятельности предприятия;

· Определение сроков, времени, периода проведения конкретных мероприятий по защите информации;

· Систематизация и объединение всех проводимых на плановой основе мероприятий по защите информации конфиденциального характера;

· Установление системы контроля за обеспечением защиты мероприятий, а также системы отчетности о выполнении конкретных мероприятий;

· Уточнение и конкретизация функций и задач, которые решают отдельные должностные лица мероприятия и структурные подразделения.

Основой для планирования мероприятий организационного обеспечения ИБ ХС служат следующие факторы:

· Требования законодательных и других нормативно-правовых документов по защите конфиденциальной информации, нормативно-методических документов федерального органа исполнительной власти (или уполномоченных органов – таких органов, документы которых будут действовать по всей стране ФСБ, ВСТЭК); А также вышестоящие организации или указания головного предприятия (для филиалов и представительств)

· Требования заказчиков проводимых предприятием в рамках соответствующих контрактов совместных работ;

· Положения международных договоров и соглашений, а также других документов, которые определяют участие предприятия в тех или иных формах международного сотрудничества;

· Положение внутренних локальных актов, которые определяют порядок ведения производственной и другой деятельности, а также конкретизируют вопросы защиты конфиденциальной информации на предприятии;

· Результаты комплексного анализа состояния дел в области защиты информации, который проводится службой безопасности или режимным подразделением на основании проверок структурных подразделений (филиалов или представительств предприятий);

· Результаты проверок состояния защиты информации, проведенных вышестоящими организациями, федеральными органами исполнительной власти в случае ведомственной комиссии, а также уполномоченными федеральными органами исполнительной власти и заказчиками работ(в рамках выполняемых контрактов или договоров), а также выработанных на основании результатов этих проверок рекомендаций, предложений, заключений;

· Результаты контроля за состоянием защиты информации на организации проводимого