ГТК при Президенте РФ. Положение О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналамУтверждено постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. № 912-51
Государственная Техническая комиссия при Президенте РФ ПОЛОЖЕНИЕ "О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам" (Извлечения) I. ОБЩИЕ ПОЛОЖЕНИЯ 1. Настоящее положение является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, в органах (аппаратах, администрациях) представительной, исполнительной и судебной властей Российской Федерации, республик в составе Российской Федерации, автономной области, автономных округов, краев, областей, городов Москвы и Санкт-Петербурга и в органах местного самоуправления (далее именуются - органы государственной власти), на предприятиях и в их объединениях, учреждениях и организациях независимо от их организационно-правовой формы и формы собственности (далее именуются - предприятия). 2. Положение определяет структуру государственной системы защиты информации в Российской Федерации, ее задачи и функции, основы организации защиты сведений, отнесенных в установленном порядке к государственной или служебной тайне, от иностранных технических разведок и от утечки по техническим каналам (далее именуется - защита информации). 3. Работы по защите информации в органах государственной власти и на предприятиях проводятся на основе актов законодательства Российской Федерации. 4. Защита информации осуществляется путем выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, предупреждению преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе обработки, передачи и хранения, по противодействию иностранными техническим разведкам, а также путем проведения специальных работ, порядок организации и выполнения которых определяется Советом Министров - Правительством Российской Федерации. 5. Мероприятия по защите информации являются составной частью управленческой, научной и производственной деятельности и осуществляется во взаимосвязи с другими мерами по обеспечению установленного режима секретности проводимых работ. 6. Главными направлениями работ по защите информации являются:
7. Основными организационно-техническими мероприятиями по защите информации являются:
8. Конкретные методы, приемы и меры защиты информации разрабатываются в зависимости от степени возможного ущерба в случае ее утечки, разрушения (уничтожения).
9. Проведение любых мероприятий и работ с использованием сведений, отнесенных к государственной или служебной тайне, без принятия необходимых мер по защите информации не допускается.
II. ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ 10.Основные задачи государственной системы защиты информации:
18.Организация работ по защите информации на предприятиях осуществляется их руководителями. В зависимости от объема работ по защите информации руководителем предприятия создается структурное подразделение по защите информации либо назначаются штатные специалисты по этим вопросам. Подразделения по защите информации (штатные специалисты) на предприятиях осуществляют мероприятия по защите информации в ходе выполнения работ с использованием сведений, отнесенных к государственной или служебной тайне, определяют совместно с заказчиком работ основные направления комплексной защиты информации, участвуют в согласовании технических (тактико-технических) заданий на проведение работ, дают заключение о возможности проведения работ с информацией, содержащей сведения, отнесенные к государственной или служебной тайне. Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю. Работники этих подразделений (штатные специалисты) приравниваются по оплате труда к соответствующим категориям работников основных структурных подразделений. Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия, имеющие лицензии на право проведения работ в области защиты информации. 19.Предприятия, имеющие намерения заниматься деятельностью в области защиты информации, должны получить соответствующую лицензию на определенный вид этой деятельности. Лицензии выдаются Гостехкомиссией России и Федеральным агентством правительственной связи и информации в соответствии со своей компетенцией по представлению органа государственной власти. 20.Высшие учебные заведения и институты повышения квалификации по подготовке и переподготовке кадров в области защиты информации осуществляют:
Подготовка кадров для государственной системы защиты информации осуществляется при методическом руководстве Гостехкомиссии России.
III.ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМАХ И СРЕДСТВАХ ИНФОРМАТИЗАЦИИ И СВЯЗИ
21.Защита информации в системах и средствах информатизации и связи является составной частью работ по их созданию, эксплуатации и осуществляется во всех органах государственной власти и на предприятиях, располагающих информацией, содержащей сведения, отнесенные к государственной или служебной тайне. 22.Требования по защите информации в системах и средствах информатизации и связи определяются заказчиками совместно с разработчиками на стадии подготовки и согласования решений Совета Министров-Правительства РФ, приказов и директив, планов и программ работ, технических и тактико-технических заданий на проведение исследований, разработку (модернизацию),испытания, производство и эксплуатацию (применение) на основе стандартов, нормативно-технических и методических документов, утверждаемых Комитетом РФ по стандартизации, метрологии и сертификации, Государственной технической комиссией при президенте РФ и другими органами государственной власти в соответствии с их компетенцией. Указанные требования согласовываются с подразделениями по защите информации. 23. Организация защиты информации в системах и средствах информатизации и связи возлагается на руководителей органов государственной власти и предприятий, заказчиков и разработчиков систем и средств информатизации и связи, руководителей подразделений, эксплуатирующих эти системы и средства, а ответственность за обеспечение защиты информации - непосредственно на пользователя (потребителя) информации. 24. В интересах обеспечения защиты информации в системах и средствах информатизации и связи ЗАЩИТЕ ПОДЛЕЖАТ:
25. Целями защиты информации являются:
26. Защита информации осуществляется путем:
Предотвращение перехвата техническими средствами информации, передаваемой по каналам связи, достигается применением криптографических и иных методов и средств защиты, а также проведением организационно-технических и режимных мероприятий. Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами, а также электроакустических преобразований достигается применением защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранирования зданий или отдельных помещений, установлением контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами. Исключения несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации достигается применением специальных программно-технических средств защиты, использованием криптографических способов защиты, а также организационными и режимными мероприятиями. Предотвращения специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации достигается применением специальных программных и аппаратных средств защиты (антивирусные процессоры, антивирусные программы),организацией системы контроля безопасности программного обеспечения. Выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств) достигается проведением специальных проверок по выявлению этих устройств. Предотвращения перехвата техническими средствами речевой информации из помещений и объектов достигается применением специальных средств защиты, проектными решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных устройств подслушивания и другими организационными и режимными мероприятиями. 27.Информация,содержащая сведения, отнесенные к государственной или служебной тайне, должна обрабатываться с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств защиты, сертифицированных в установленном порядке. Соответствие технического средства и его программного обеспечения требованиям защищенности подтверждается сертификатом, выдаваемым предприятием, имеющим лицензию на этот вид деятельности, по результатам сертификационных испытаний, или предписанием на эксплуатацию, оформляемым по результатам специальных исследований и специальных проверок технических средств и программного обеспечения. Для оценки готовности систем и средств информатизации и связи к обработке (передаче) информации, содержащей сведения, отнесенные к государственной или служебной тайне, проводится аттестование указанных систем и средств в реальных условиях эксплуатации на предмет соответствия принимаемых методов, мер и средств защиты требуемому уровню безопасности информации.
VI. КОНТРОЛЬ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ 47.Контроль состояния защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок. Контроль заключается в проверке выполнения актов законодательства РФ по вопросам защиты информации, решений Государственной технической комиссии при Президенте РФ, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации. 48.Контроль организуется Гостехкомиссией России, Министерством безопасности Российской Федерации, Министерством внутренних дел РФ, Министерством обороны РФ, Службой внешней разведки РФ, Федеральным агентством правительственной связи и информации при Президенте РФ, структурными и межотраслевыми подразделениями органов государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией. Акты проверок предприятий рассылаются в орган, проводивший проверку, и в орган государственной власти по подчиненности предприятия. 49.Гостехкомиссия России организует контроль силами центрального аппарата и подчиненных ей в специальном отношении специальных центров. Она может привлекать для этих целей подразделения по защите информации органов государственной власти. Центральный аппарат Гостехкомиссии России осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю (за исключением объектов и технических средств, защита которых входит в компетенцию МО РФ, МВД РФ, ФСК РФ, СВР РФ, ФАПСИ, Главного управления охраны Российской Федерации). Специальные центры, подчиненные в специальном отношении Государственной технической комиссии при Президенте РФ, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих центров. Контроль в органах государственной власти силами центрального аппарата Государственной технической комиссии при Президенте РФ и специальных центров, подчиненных в специальном отношении Государственной технической комиссии при Президенте РФ, осуществляется по согласованию с соответствующими органами государственной власти. 50.Органы государственной власти организуют и осуществляют контроль на подчиненных им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации. 51.Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесенных к государственной или служебной тайне, осуществляется органами государственной власти, Гостехкомиссией России, ФСК РФ, ФАПСИ и заказчиком работ в соответствии с их компетенцией. 52.Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам. Несоответствие мер установленным требованиям или нормам по защите информации является нарушением. НАРУШЕНИЯ по степени важности делятся на ТРИ КАТЕГОРИИ: ПЕРВАЯ - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам; ВТОРАЯ - невыполнение требований по защите информации, в результате чего создаются предпосылки для ее утечки по техническим каналам; ТРЕТЬЯ - невыполнение других требований по защите информации. 53.При обнаружении нарушений первой категории руководители органов государственной власти и предприятий обязаны:
Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер, проводимой Государственной технической комиссией при Президенте РФ или по ее поручению подразделениями по защите информации органов государственной власти. При обнаружении нарушений второй и третьей категорий руководители проверяемых органов государственной власти и предприятий должны принять меры по их устранению в сроки, согласованные с органом, проводившим проверку, или заказчиком ( представителем заказчика ). Контроль за устранением этих нарушений осуществляется подразделениями по защите информации этих органов государственной власти и предприятий. 54…. Допуск представителей центрального аппарата Государственной технической комиссии при Президенте Российской Федерации, специальных центров, подчиненных ей в специальном отношении, на объекты для проведения контроля состояния защиты информации, доступ их к работам и документам, необходимым для проведения контроля, осуществляется в установленном порядке по предъявлении специального удостоверения представителя Государственной технической комиссии при Президенте РФ и предписания на право проведения проверки данного объекта. Допуск на военные объекты осуществляется по разрешению начальника Генерального штаба Вооруженных Сил Российской Федерации. Предписания на право проверки состояния защиты информации выдаются:
VII. ФИНАНСИРОВАНИЕ МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ
55.Финансирование мероприятий по защите информации, содержащей сведения, отнесенные к государственной или служебной тайне, а также подразделений по защите информации в органах государственной власти и на бюджетных предприятиях предусматривается в сметах расходов на их содержание. 56.Создание технических средств защиты информации, не требующие капитальные вложения, осуществляется в пределах средств, выделяемых заказчиками на научно-исследовательские и опытно-конструкторские работы, связанные с разработкой продукции. Расходы по разработке технических средств защиты включается стоимость разработки образца продукции. Создание технических средств защиты информации, требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на строительство сооружения или объектов. |