Файл: Современная законодательно-нормативная база защиты государственной тайны.pdf
Добавлен: 05.04.2023
Просмотров: 101
Скачиваний: 1
СОДЕРЖАНИЕ
ГЛАВА 1. ПРАВОВЫЕ ОСНОВЫ В ОБЛАСТИ ИНФОРМАЦИИ И ЗАЩИТЫ ИНФОРМАЦИИ
1.1. Законодательные нормативно-правовые акты в области защиты информации
1.2 Информационная безопасность РФ
1.3 Угрозы информационной безопасности и защита информации
1.4 Основные определения, связанные с информацией, информационными технологиями и защите информации
ГЛАВА 2. ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ И ОСНОВНЫЕ ЗАКОНЫ, ПРИМЕНЯЕМЫЕ ПРИ ЗАЩИТЕ ГОСУДАРСТВЕННОЙ ТАЙНЫ
2.1. Закон «О государственной тайне»
2.2 Сведения, составляющие государственную тайну
2.3. Органы защиты сведений, составляющих государственную тайну
2.4 Допуск организаций к проведению работ со сведениями, содержащими государственную тайну.
2.5 Нормативная база в области технической защиты информации
Перечень сведений, составляющих государственную тайну, может меняться.
Обоснованность отнесения сведений к государственной тайне и их засекречивания заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта исходя из баланса жизненно важных интересов государства, общества и граждан.
Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно". Они определяются по степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений.
На носители сведений, составляющих государственную тайну, наносятся реквизиты, включающие следующие данные:
- о степени секретности сведений, которые содержатся на носителе;
- об органе государственной власти, о предприятии, об учреждении, организации, которые осуществили засекречивание носителя;
- о регистрационном номере;
- о дате или условии рассекречивания сведений либо о событии, после наступления которого сведения будут рассекречены.
При невозможности нанесения таких реквизитов на носитель сведений, составляющих государственную тайну, эти данные указываются в сопроводительной документации на этот носитель.
Если носитель содержит составные части с различными степенями секретности, каждой из этих составных частей присваивается соответствующий гриф секретности, а носителю в целом присваивается гриф секретности, соответствующий тому грифу секретности, который присваивается его составной части, имеющей высшую для данного носителя степень секретности сведений.
2.3. Органы защиты сведений, составляющих государственную тайну
Система защиты государственной тайны представляет собой совокупность органов защиты государственной тайны, а также используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях.
Органами защиты государственной тайны являются:
- межведомственная комиссия по защите государственной тайны;
- федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны, федеральный орган исполнительной власти, уполномоченный в области внешней разведки, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы;
- органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.
Межведомственная комиссия по защите государственной тайны является коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ нормативных и методических документов, обеспечивающих реализацию законодательства Российской Федерации о государственной тайне. Функции межведомственной комиссии по защите государственной тайны и ее надведомственные полномочия реализуются в соответствии с Положением о межведомственной комиссии по защите государственной тайны, утверждаемым Президентом Российской Федерации.
Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны, федеральный орган исполнительной власти, уполномоченный в области внешней разведки, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы организуют и обеспечивают защиту государственной тайны в соответствии с функциями, возложенными на них законодательством Российской Федерации.
Органы государственной власти, предприятия, учреждения и организации обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции. Ответственность за организацию защиты сведений, составляющих государственную тайну, в органах государственной власти, на предприятиях, в учреждениях и организациях возлагается на их руководителей. В зависимости от объема работ с использованием сведений, составляющих государственную тайну, руководителями органов государственной власти, предприятий, учреждений и организаций создаются структурные подразделения по защите государственной тайны, функции которых определяются указанными руководителями в соответствии с нормативными документами, утверждаемыми Правительством Российской Федерации, и с учетом специфики проводимых ими работ.
Защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации.
2.4 Допуск организаций к проведению работ со сведениями, содержащими государственную тайну.
Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющие государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий, связанных с оказанием услуг по защите государственной тайны, осуществляется путем получения лицензий на проведение работ со сведениями соответствующей степени секретности в порядке, установленном Правительством РФ.
Лицензия на проведение указанных работ выдается на основании результатов специальной экспертизы предприятия, учреждения и организации и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну, расходы по проведению которых относятся на счет предприятия, учреждения, организации, получающих лицензию.
Условия выдачи лицензии организации на осуществление работ со сведениями, составляющими государственную тайну следующие:
- выполнение требований нормативных документов, утверждаемых Правительством Российской Федерации, по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;
- наличие в их структуре подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации, количество и уровень квалификации которых достаточны для обеспечения защиты государственной тайны;
- наличие у них сертификационных средств защиты информации.
Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
2.5 Нормативная база в области технической защиты информации
Обеспечением защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, занимается такое ведомство как ФСТЭК – Федеральная служба по техническому и экспортному контролю. Задачами этой службы является предотвращение утечки такой информации по техническим каналам, а также исключение несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации.
По информации, опубликованной на официальном сайте ФСТЭК России (http://fstec.ru/) в таблице 1 приведен перечень нормативно-правовых документов, связанных с технической защитой информации.
Таблица 1.
Нормативные правовые документы
по технической защите информации
|
Документ |
Название документа |
|---|---|
|
ГОСТ Р 50739-95 |
Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования |
|
ГОСТ Р 50922-2006 |
Защита информации. Основные термины и определения |
|
ГОСТ Р 51188-98 |
Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство |
|
ГОСТ Р 51275-2006 |
Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения |
|
ГОСТ Р 51583-2014 |
Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения |
|
ГОСТ Р 52069.0-2013 |
Защита информации. Система стандартов. Основные положения |
|
ГОСТ Р 52447-2005 |
Защита информации. Техника защиты информации. Номенклатура показателей качества |
|
ГОСТ Р 52448-2005 |
Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения |
|
ГОСТ Р 52633.0-2006 |
Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации |
|
ГОСТ Р 52633.1-2009 |
Защита информации. Техника защиты информации. Требования к формированию баз естественных биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации |
|
ГОСТ Р 52633.2-2010 |
Защита информации. Техника защиты информации. Требования к формированию синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации |
|
ГОСТ Р 52633.3-2011 |
Защита информации. Техника защиты информации. Тестирование стойкости средств высоконадежной биометрической защиты к атакам подбора |
|
ГОСТ Р 52633.4-2011 |
Защита информации. Техника защиты информации. Интерфейсы взаимодействия с нейросетевыми преобразователями биометрия - код доступа |
|
ГОСТ Р 52633.5-2011 |
Защита информации. Техника защиты информации. Автоматическое обучение нейросетевых преобразователей биометрия-код доступа |
|
ГОСТ Р 52633.6-2012 |
Защита информации. Техника защиты информации. Требования к индикации близости предъявленных биометрических данных образу «Свой» |
|
ГОСТ Р 52863-2007 |
Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования |
|
ГОСТ Р 53109-2008 |
Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности |
|
ГОСТ Р 53110-2008 |
Система обеспечения информационной безопасности сети связи общего пользования. Общие положения |
|
ГОСТ Р 53111-2008 |
Устойчивость функционирования сети связи общего пользования. Требования и методы проверки |
|
ГОСТ Р 53112-2008 |
Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний |
|
ГОСТ Р 53113.1-2008 |
Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения |
|
ГОСТ Р 53113.2-2009 |
Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов |
|
ГОСТ Р 53114-2008 |
Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения |
|
ГОСТ Р 53115-2008 |
Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства |
|
ГОСТ Р 53131-2008 |
Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения |
|
ГОСТ Р 54581-2011 / ISO/IEC TR 15443-1:2005 |
Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы |
|
ГОСТ Р 54582-2011 / ISO/IEC TR 15443-2:2005 |
Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия |
|
ГОСТ Р 54583-2011 / ISO/IEC TR 15443-3:2007 |
Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия |
|
ГОСТ Р 56045-2014 |
Информационная технология. Методы и средства обеспечения безопасности. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью |
|
ГОСТ Р 56093-2014 |
Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Общие требования |
|
ГОСТ Р 56103-2014 |
Защита информации. Автоматизированные системы в защищенном исполнении. Организация и содержание работ по защите от преднамеренных силовых электромагнитных воздействий. Общие положения |
|
ГОСТ Р 56115-2014 |
Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования |
|
ГОСТ Р ИСО/МЭК 13335-1-2006 |
Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий |
|
ГОСТ Р ИСО 7498-1-99 |
Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель |
|
ГОСТ Р ИСО 7498-2-99 |
Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации |
|
ГОСТ Р ИСО/МЭК ТО 13335-5-2006 |
Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети |
|
ГОСТ Р ИСО/МЭК 15408-1-2012 |
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель |
|
ГОСТ Р ИСО/МЭК 15408-2-2013 |
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности |
|
ГОСТ Р ИСО/МЭК 15408-3-2013 |
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности |
|
ГОСТ Р ИСО/МЭК ТО 15446-2008 |
Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности |
|
ГОСТ Р ИСО/МЭК ТО 18044-2007 |
Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности |
|
ГОСТ Р ИСО/МЭК 18045-2013 |
Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий |
|
ГОСТ Р ИСО/МЭК ТО 19791-2008 |
Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем |
|
ГОСТ Р ИСО/МЭК 21827-2010 |
Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса |
|
ГОСТ Р ИСО/МЭК 27000-2012 |
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология |
|
ГОСТ Р ИСО/МЭК 27001-2006 |
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования |
|
ГОСТ Р ИСО/МЭК 27002-2012 |
Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента безопасности |
|
ГОСТ Р ИСО/МЭК 27003-2012 |
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности |
|
ГОСТ Р ИСО/МЭК 27004-2011 |
Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения |
|
ГОСТ Р ИСО/МЭК 27005-2010 |
Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности |
|
ГОСТ Р ИСО/МЭК 27006-2008 |
Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности |
|
ГОСТ Р ИСО/МЭК 27007-2014 |
Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности |
|
ГОСТ Р ИСО/МЭК 27013-2014 |
Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1 |
|
ГОСТ Р ИСО/МЭК 27033-1-2011 |
Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции |
|
ГОСТ Р ИСО/МЭК 27033-3-2014 |
Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления |
|
ГОСТ Р ИСО/МЭК 27034-1-2014 |
Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия |
|
ГОСТ Р ИСО/МЭК 27037-2014 |
Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме |
|
ГОСТ Р ИСО/МЭК 29100-2013 |
Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности |
|
Рекомендации по стандартизации Р 50.1.050-2004 |
Защита информации. Система обеспечения качества техники защиты информации. Общие положения |
|
Рекомендации по стандартизации Р 50.1.053-2005 |
Информационные технологии. Основные термины и определения в области технической защиты информации |
|
Рекомендации по стандартизации Р 50.1.056-2005 |
Техническая защита информации. Основные термины и определения |
ЗАКЛЮЧЕНИЕ
Под информационной безопасностью, прежде всего, понимается состояние защищенности информации, связанной с национальными интересами государства в информационной сфере как от внутренних, так и от внешних угроз.
Основной составляющей информационной безопасности является защита информации. Наиболее важным и сложным объектом защиты является информация, связанная с государственной тайной. Вопрос защиты информации тесно связан с обеспечением условий защиты такой информации от случайных или преднамеренных воздействий естественного или искусственного характера, а также с защитой от информационно-технических воздействий.
Совершенствованию законодательной базы в области информации и информационной защищенности на сегодняшнем этапе развития общества и государства уделяется значительное внимание.
В данной работе рассмотрены основные законодательно-нормативные документы в области защиты государственной тайны. Ряд этих документов претерпел значительные существенные изменения на сегодняшний момент.
Рассмотрены основные понятия и термины, связанные со сведениями, отнесенными к государственной тайне, а также основные понятия, относящиеся к информации, информационной безопасности и защите информации, приведен перечень документов, имеющих отношение к технической защите информации.
Очевидно, что ряд документов, относящихся к этой области, носит закрытый характер и предназначен для служебного пользования специалистами и сотрудниками, имеющими доступ к такого рода информации. Поэтому в работе использованы только документы, относящиеся к общедоступной информации и находящиеся в свободном доступе.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
- Закон РФ от 21.07.1993 N 5485-1 (редакция от 08.03.2015) "О государственной тайне" [Электронный ресурс]: URL: http://www.consultant.ru/ document/cons_doc_LAW_2481/ (дата обращения 27.10.2017)
- Конституция Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ) [Электронный ресурс]: URL: http://www.consultant.ru/document/cons_doc_LAW_28399/ (дата обращения 23.10.2017)
- Постановление Правительства РФ № 1205 от 22.11.2015 г. «Об утверждении Правил организации и осуществления федерального государственного контроля за обеспечением защиты государственной тайны» [Электронный ресурс]: URL: http://docs.cntd.ru/document/902382048 (дата обращения 30.10.2017)
- Указ Президента РФ от 09.05.2017 N 203 "О Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы" [Электронный ресурс]: URL: http://docs.cntd.ru/document/420397755 (дата обращения 1.11.2017)
- Указ Президента РФ от 5 декабря 2016 г. № 646 “Об утверждении Доктрины информационной безопасности Российской Федерации” [Электронный ресурс]: URL: http://www.garant.ru/products/ipo/prime/doc/ 71456224/#ixzz4x3duYQ55 (дата обращения 25.10.2017)
- Указ Президента РФ от 30.11.1995 г. № 1203 (в редакции 5.07.2017)«Об утверждении перечня сведений, отнесенных к государственной тайне» [Электронный ресурс]: URL: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/108-ukazy/368-ukaz-prezidenta-rossijskoj-federatsii-ot-30-noyabrya-1995-g-n-1203 (дата обращения 29.10.2017)
- Федеральный закон от 27 июля 2006 г. (редакция от 29.07.2017) №149–Ф3 «Об информации, информационных технологиях и о защите информации» (с изменениями и дополнениями, вступившими в силу с 01.11.2017) [Электронный ресурс]: URL: http://www.consultant.ru/ document/cons_doc_LAW_61798/ (дата обращения 1.11.2017)