ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4196
Скачиваний: 25
ну, у организаций, по отношению к которым предприятие явля
ется заказчиком работ (ст. 17);
• обеспечение защиты государственной тайны при изменении
функций, формы собственности, ликвидации предприятия или
прекращении работ, связанных с использованием сведений, со
ставляющих государственную тайну (ст. 19);
• ответственность за организацию защиты государственной тай
ны (ст. 20);
• создание структурных подразделений защиты государствен
ной тайны (ст. 20);
• принятие решения о допуске подчиненных лиц к государ
ственной тайне (ст. 21);
• принятие решения об отказе в допуске к государственной
тайне подчиненным лицам (ст. 22);
• обязанность и право прекращения допуска к государственной
тайне подчиненных лиц в установленных законодательством слу
чаях (ст. 23);
• организация доступа должностных лиц и сотрудников пред
приятия к государственной тайне и персональная ответственность
за создание таких условий, при которых они могут ознакомиться
только со сведениями, необходимыми для выполнения должно
стных обязанностей (ст. 25);
• получение лицензии на допуск к проведению работ, связан
ных с использованием сведений, составляющих государственную
тайну, и прохождение государственной аттестации.
2.
Согласно «Инструкции о порядке допуска должностных лиц
и граждан Российской Федерации к государственной тайне», ут
вержденной постановлением Правительства РФ 1995 г. № 1050,
на руководителя возлагается:
• персональная ответственность за подбор лиц, допускаемых к
государственной тайне (п. 3);
• контроль за соответствием формы допуска фактической сте
пени секретности сведений, с которыми ознакамливаются работ
ники (п. 6);
• определение перечня должностей сотрудников, подлежащих
оформлению на допуск к государственной тайне (п. 13);
• прекращение допуска к государственной тайне в установлен
ных случаях (п. 15);
• допуск к секретным сведениям без проведения проверочных
мероприятий, в том
числе
руководителей организаций, в отноше
нии которых предприятие является заказчиком (п. 23);
• персональная ответственность за обеспечение режима сек
ретности допущенными к секретным сведениям лицами, не до
стигшими 16-летнего возраста (п. 28);
• обеспечение разграничения доступа к государственной тайне
при приеме командированных лиц (п. 39).
Приведенные примеры только из двух правовых актов показы
вают, что реализация всего комплекса функций по защите ин
формации ограниченного доступа на предприятии (с учетом ее
объемов) требует наличия специального подразделения (или под
разделений, например, по видам информации ограниченного до
ступа). Задача руководителя предприятия в этом процессе должна
заключаться в принятии управленческих решений, контролю их
выполнения и, при наличии необходимости, применению управ
ленческих воздействий, направленных на достижение поставлен
ных в решениях задач.
13.2.2. Функции службы защиты информации
Учитывая разнообразие видов тайн, специфику нормативных
требований по защите каждой из них, под службой ЗИ в общем
виде будем понимать структурные подразделения предприятия,
специально созданные для выполнения задач защиты информа
ции (независимо от ее вида).
Функции службы ЗИ (изложены в общем виде, без привязки к
виду защищаемой информации):
• организация планирования, разработки и проведения меро
приятий по защите информации ограниченного доступа при про
ведении работ с ее носителями;
• координация деятельности структурных подразделений пред
приятия по вопросам защиты информации ограниченного досту
па, контроль выполнения ими нормативных документов по защи
те такой информации;
• анализ деятельности предприятия по защите информации огра
ниченного доступа, выявление возможных каналов ее утечки и
подготовка предложений по их закрытию;
• учет и анализ нарушений режима обеспечения сохранности
информации ограниченного доступа;
• участие в работе по отнесению сведений к различным катего
риям информации ограниченного доступа, разработке перечней
такой информации, нормативно-методических документов по
обеспечению ее защиты;
• участие в проведении служебных расследований в случае утра
ты либо хищения носителей информации ограниченного доступа,
других нарушений режима обеспечения сохранности такой ин
формации, а также по фактам ее разглашения;
• организация проведения профилактической работы с работ
никами предприятия по соблюдению режима обеспечения сохран
ности информации ограниченного доступа;
• разработка перечней должностей работников, подлежащих
допуску к информации ограниченного доступа;
• контроль разработки и осуществление мероприятий по защи
те информации ограниченного доступа;
• осуществление мероприятий, обеспечивающих доступ к ин
формации ограниченного доступа только тех работников, кото
рым она необходима для выполнения должностных обязанно
стей;
• проведение инструктажа работников, допущенных к инфор
мации ограниченного доступа, контроль знания ими требований
нормативных документов по режиму обеспечения ее сохранно
сти;
• ведение учета осведомленности работников в информации
ограниченного доступа;
• участие в обеспечении пропускного режима, охраны пред
приятия и режимных территорий, контроле несения службы
охраной;
• участие в определении эффективности инженерно-техниче-
ских средств охраны и разработке предложений по их совершен
ствованию;
• организация и ведение учета носителей информации ограни
ченного доступа;
• контроль соблюдения установленного порядка работы с но
сителями информации ограниченного доступа.
13.2.3. Функции специальных комиссий
Использование различных видов информации ограниченного
доступа в управленческой и производственной деятельности пред
приятия является сложным процессом, тонкости которого не мо
гут быть в полном объеме известны специалистам службы зашиты
информации ввиду необходимости узко-специальных знаний, тех
нической сложности и разнообразия производственных процес
сов. Вместе с тем знание таких «тонкостей» является важнейшим
условием принятия эффективных решений по защите информа
ции ограниченного доступа, начиная со стадии отнесения инфор
мации к таковой и заканчивая внедрением сложных технических
средств защиты информации.
Учитывая изложенное, рядом нормативных документов, а так
же исходя из практики деятельности по защите информации, на
предприятиях предусматривается создание целого ряда комиссий,
являющихся нештатными рабочими органами руководителя пред
приятия, призванными обеспечить принятие эффективных реше
ний по защите информации.
К таким специальным комиссиям относятся:
а)
в области защиты государственной тайны — экспертные
комиссии, предусмотренные ст. 14 Закона РФ «О государствен
ной тайне» и постановлением Правительства Российской Феде
рации от 04.09.1995 г. № 870 «Об утверждении правил отнесения
сведений, составляющих государственную тайну, к различным
степеням секретности»*, а также постоянно действующие техни
ческие комиссии предприятий по защите государственной тай
ны, создаваемые в соответствии с Положением, утвержденным
совместным приказом Гостехкомиссии России и ФСБ России
2001 г. № 309/405;
б) экспертные комиссии, создаваемые в соответствии с Основ
ными правилами работы архивов организаций (одобр. Коллегией
Росархива от 06.02.2002 г.), «Перечнем типовых управленческих
документов, образующихся в деятельности организаций, с указа
нием сроков хранения» (утв. Росархивом 06.10.2000 г.), Типовой
инструкцией по делопроизводству в федеральных органах испол
нительной власти (приказ Минкультуры РФ от 08.11.2005 г.
№ 536, зарегистрирован в Минюсте РФ 27.01.2006 г. № 7418);
в) внутренние проверочные комиссии, назначаемые руководи
телем предприятия для проверки наличия носителей информа
ции ограниченного доступа, соблюдения порядка обращения с
ними; аналогичные комиссии, назначаемые для проверок в под
чиненных организациях (дочерних, филиалах и т.п.), ликвидаци
онные комиссии.
В последнее время в практике работы предприятий использу
ются так называемые Советы по безопасности, в числе прочих
задач выполняющие функции консультативных органов по защи
те информации ограниченного доступа при руководителе пред
приятия. В состав советов, как правило, включаются:
• специалисты подразделений предприятия, использующих в
своей работе информацию ограниченного доступа;
• специалисты службы безопасности (по вопросам охраны, фи
зической защиты объектов и т.п.);
• специалисты подразделений по защите информации;
• представители организаций-заказчиков.
Основной задачей советов по безопасности в области защиты
информации является выработка рекомендаций руководству пред
приятия по защите информации ограниченного доступа при ре
шении следующих вопросов:
• отнесении сведений к различным видам информации огра
ниченного доступа, определении степени ее конфиденциально
сти;
• организации методического обеспечения и проведения ана
литической работы по предупреждению несанкционированного
распространения информации ограниченного доступа;
* Собрание законодательства РФ от 11.09.1995 г. № 37. — Ст. 3619.
10 Грибунин
289
• разработке, создании, испытаниях объектов информатизации
и производстве продукции, содержащей информацию ограничен
ного доступа;
• разработке нормативных, научно-технических и методиче
ских документов по вопросам выявления и закрытия возможных
каналов утечки информации ограниченного доступа, технической
защите информации, совершенствованию физической защиты
объектов;
• обеспечению охраны объекта, организации пропускного и
внутриобъектового режимов, выборе средств автоматизации этих
процессов;
• рассмотрении проектов договоров и технических заданий на
проведение работ, конструкторской, технологической и отчетной
документации по ним с целью определения достаточности ме
роприятий по обеспечению режима сохранности информации огра
ниченного доступа, используемой при проведении работ;
• рассмотрении вопроса о величине ущерба в случае разглаше
ния информации ограниченного доступа, возможности снятия
ограничений на распространение информации ограниченного
доступа и др.
13.2.4. Обязанности пользователей защищаемой
информации
Обязанности
персонала
предприятия по защите информации
определяются в коллективном договоре, трудовых договорах, дол
жностных (функциональных) обязанностях, инструкциях, прави
лах, положениях и других организационно-распорядительных до
кументах. Они должны предусматривать следующие обязательства
персонала:
• знать и неукоснительно выполнять требования организаци
онно-распорядительных документов предприятия по защите ин
формации ограниченного доступа;
• знать содержание перечней информации ограниченного до
ступа, к которой имеет отношение в силу служебных обязанно
стей; уметь правильно определять наличие и степень конфиден
циальности информации ограниченного доступа, используемой
им при выполнении должностных обязанностей; своевременно
проставлять установленные нормативными правовыми докумен
тами отличительные реквизиты на ее носителях;
• знать основы законодательства, устанавливающего ответствен
ность (гражданскую, административную, уголовную) за разглаше
ние информации ограниченного доступа или утрату ее носителей;
• знать правила обращения, разработки, учета, хранения унич
тожения носителей информации ограниченного доступа;