Наиболее важные вопросы по дисциплине "основы защиты информации, составляющей государственную тайну"
Виды, методы и формы контроля состояния защиты государственной тайны
Скачать 469.19 Kb.
|
38. Виды, методы и формы контроля состояния защиты государственной тайны. ВИДЫ КОНТРОЛЯ Предварительный контроль представляет собой оценочную проверку обоснованности мер защиты государственной тайны до начала работы со сведениями, составляющими государственную тайну. Текущий контроль - это проверка в процессе работы со сведениями, составляющими государственную тайну. Текущий контроль может быть периодическим, повседневным или непрерывным. Контроль устранения недостатков - это проверка, проводимая после устранения ранее допущенных нарушений норм и требований по защите государственной тайны на контролируемом объекте. Внутренний контроль проводится на объекте контроля силами собственного подразделения контроля или с привлечением на договорной основе организации, имеющей лицензию на оказание услуг по контролю (аттестации) объектов. Ведомственный контроль проводится на объекте контроля силами вышестоящей организации в рамках одного ведомства. Межведомственный контроль (надзор) проводится специально уполномоченными государственными органами, не входящими в одну систему с подконтрольным объектом. Межведомственный контроль за обеспечением защиты государственной тайны осуществляют ФСБ, МО, ФАПСИ, СВР, Гостехкомиссия России и их органы на местах, на которые эта функция возложена законодательством РФ. МЕТОДЫ КОНТРОЛЯ Организационный контроль защиты государственной тайны состоит в проверке соответствия полноты и обоснованности мероприятий по защите государственной тайны требованиям руководящих и нормативных документов. Технический контроль эффективности защиты государственной тайны заключается в проверке эффективности мер защиты с использованием технических и/или программных средств контроля. ФОРМЫ КОНТРОЛЯ Инспектирование - это контроль за соблюдением установленных правил и требований. Экспертиза - это предварительный контроль в форме оценки возможности организации исполнять заявленные этой организацией функции по защите государственной тайны. Специальные исследования технических средств обработки информации (ТСОИ)- это предварительный контроль в форме исследования конкретного ТСОИ с целью выявления каналов утечки защищаемой информации и оценки соответствия принятых мер защиты информации на объекте защиты требованиям нормативных документов. Специальная проверка - проверка технических средств и систем объекта защиты с целью выявления специально установленного электронного устройства, служащего для негласного получения информации. Аттестация - это предварительный контроль в форме комплексной проверки (испытания) защищаемого (контролируемого) объекта в реальных условиях его эксплуатации с целью официальной оценки соответствия использованного комплекса мер и средств защиты установленным требованиям. Сертификация - процедура подтверждения соответствия продукция установленным требованиям независимой от изготовителя (продавца, исполнителя) и потребителя (покупателя) организацией, которая удостоверяет это в письменной форме (в сертификате соответствия). 39. Структура системы контроля состояния защиты государственной тайны. Система контроля состояния защиты государственной тайны включает следующие органы контроля: органы межведомственного контроля; органы ведомственного контроля; объектовые (местные) органы контроля - структурные подразделения контроля организаций, учреждений и предприятий, проводящие повседневный контроль в своих организациях; органы, уполномоченные на ведение лицензионной деятельности - контроль за соблюдением лицензионных условий лицензиатами, выполняющими работы, связанные с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны; федеральные органы по сертификации - контроль и надзор за соблюдением участниками сертификации правил сертификации, а также - за сертифицированными средствами защиты информации; органы по сертификации средств защиты информации - контроль и надзор за сертифицированными ими средствами защиты информации. По результатам контроля приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия, принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации. организации, оказывающих услуги по аттестации объектов по требованиям безопасности информации. 40. Организация контроля состояния защиты государственной тайны. Организация контроля за состоянием защиты государственной тайны включает: планирование контроля; доведение решения о проведении проверки до руководителя проверяемой организации (в случае проведения гласной проверки); проведение контроля состояния защиты государственной тайны; доведение результатов контроля, выводов и рекомендаций до соответствующих органов и должностных лиц. Организация контроля состояния защиты государственной тайны осуществляется уполномоченными органами в сфере их компетенции (ФСБ, ФАПСИ, Гостехкомиссия России, СВР, Министерство обороны). Руководство работами по контролю в органах государственной власти осуществляется их руководителями (заместителями руководителей) через головное подразделение по контролю. Для проведения работ по контролю могут привлекаться на договорной основе предприятия, имеющие лицензии на право проведения работ в области контроля. Контроль состояния защиты государственной тайны осуществляется посредством проведения плановых или внезапных, гласных или негласных проверок, проверок по заявкам проверяемых организаций, а также в ходе повседневного наблюдения за состоянием защиты государственной тайны на контролируемых объектах. Для проведения проверки руководителем контрольного органа назначается проверочная комиссия во главе с руководителем проверки, который получает предписание на право проведения проверки организации работ и выполнения требований по защите государственной тайны в организации (на объекте). Предписание доводится руководителем проверки до руководителя проверяемой организации (объекта) или лица его замещающего, который обязан создать проверочной комиссии необходимые условия для исполнения ей своих функций, определенных положением о соответствующем органе контроля. Руководитель проверки доводит до указанного должностного лица перечень проверяемых вопросов, а также перечень необходимых документов, изделий, технических средств и помещений, к которым должен быть обеспечен доступ членов проверочной комиссии, в соответствии с их правами. По результатам проверки составляется Акт, который высылается в проверяемую организацию (объект), руководству органа государственной власти по подчиненности организации (объекта) и в орган, проводивший проверку. При наличии в Акте нарушений или недостатков, проверенной организацией составляется план устранения недостатков, который согласовывается с контрольным органом, проводившим проверку. О выполнении всех мероприятий плана устранения недостатков проверенная организация извещает орган контроля, который может направить в организацию своих сотрудников для оценки эффективности выполненных мероприятий. Проверка считается законченной после отметки о выполнении всех мероприятий плана устранения недостатков. 41. Организация защиты государственной тайны на предприятиях, в организациях и учреждениях. Организация работ по защите государственной тайны на предприятиях осуществляется их руководителями. В зависимости от объема работ руководителем предприятия создается структурное подразделение защите государственной тайны либо назначаются штатные специалисты по этим вопросам. Для проведения работ по защите государственной тайны могут привлекаться на договорной основе специализированные предприятия и организации, имеющие лицензии на проведения работ в области защите государственной тайны. Правовую основу для организации защиты государственной тайны составляют действующие на объекте “Перечни сведений, подлежащим засекречиванию”. Общая технологическая схема организации защиты государственной тайны представляет собой последовательную итерационную процедуру: оценки угроз и состояния безопасности информации на защищаемых объектах; принятия решения о мерах защиты государственной тайны; планирования мероприятий по ее защите тайны; постановки задач исполнителям работ; организации их взаимодействия и всестороннего обеспечения; выполнения запланированных мероприятий; контроля выполнения мероприятий и оценки их эффективности. Общие требования к порядку организации и проведения работ по защите государственной тайны устанавливаются в Инструкции, утверждаемой Правительством РФ. Такая инструкция содержит требования по обеспечению пропускного режима, охраны территории объекта, доступу персонала на территорию, по порядку обращения с секретными документами, защите информации от технических разведок и от ее утечки по техническим каналам, а также другие требования. Порядок организации и осуществления мероприятий по защите информации, составляющей государственную тайну, на объекте определяется действующим на этом объекте Руководством по защите информации. Руководство должно состоять из следующих разделов: общие положения; охраняемые сведения об объекте; демаскирующие признаки объекта и технические каналы утечки информации; оценка возможностей технических разведок и других источников угроз безопасности информации; организационные и технические мероприятия по защите информации; оповещение о ведении разведки (раздел включается в состав Руководства при необходимости); обязанности и права должностных лиц; планирование работ по защите информации и контролю; контроль состояния защиты информации; аттестование рабочих мест; взаимодействие с другими предприятиями (учреждениями, организациями). 42. Особенности защиты государственной тайны на предприятиях, в организациях и учреждениях в условиях реализации международных договоров по сокращению вооружений и вооруженных сил. Особенностью, влияющей на организацию защиты государственной тайны в условиях реализации международных договоров, является широкое использование мер контроля за соблюдением договоров. К ним относятся использование национальных технических средств контроля и инспекционных групп на территории контролируемой стороны. При использовании инспекционных групп осуществляется не только визуальное наблюдение инспектируемых объектов, но и применение технических средств контроля: фотоаппаратов, телекамер, аппаратуры радиационного, магнитометрического, инфракрасного и других видов контроля. Кроме того, применяются портативные компьютеры, средства связи, навигации и другое оборудование, не подлежащее досмотру. Все это приводит к тому, что в поле зрения этих групп могут попадать не только объекты контроля, определенные в договорах, но и другие объекты, информация о которых может составлять государственную тайну. Для последних объектов должны быть предприняты дополнительные меры ее защиты. Для этого все объекты защиты подразделяются на подконтрольные и неподконтрольные. Сведения о подконтрольных объектах делятся на относящиеся к предмету договора и не относящиеся к предмету договора. Первая группа сведений не должны составлять государственную тайну. Их защита запрещена тем или иным Договором. Сведения второй группы подлежат защите. При этом меры защиты не должны создавать помех национальным техническим средствам контроля и инспектирующим группам контролирующей стороны, действующей в соответствие с Договором. Мероприятия до начала инспекций проводятся заблаговременно. При этом разрабатываются способы защиты, готовятся к применению средства защиты неподконтрольных объектов и сведений, не относящихся к предмету договора. Налаживается система оповещения о проведении инспекций (инспекционных полетов). Создается система оперативного управления мерами и средствами защиты информации. В ходе инспекций осуществляется контроль за деятельность инспекционных групп, реализация дополнительных мер и применение средств защиты информации, управление ими с учетом изменяющейся обстановки. После осуществления инспекций осуществляются проверки объектов и территорий с целью обнаружения возможно внедренных закладок. 43. Особенности защиты государственной тайны в условиях создания совместных предприятий. Совместные предприятия характеризуются размещением на одной территории представительств иностранных фирм и цехов, участков, где проводятся работы с защищаемыми объектами. Это приводит к тому, места нахождения возможных средств разведки оказываются в непосредственной близости от защищаемых объектов. При этом резко возрастает опасность перехвата информации по каналам акустической разведки, каналам побочных электромагнитных излучений, химической разведки. Иностранные представители получают возможность визуального наблюдения защищаемых объектов. Возрастает опасность разглашения информации работниками предприятий в процессе совместной деятельности. Такое разглашение может произойти, в том числе, по косвенной информации, раскрывающей при ее комплексной обработке содержание сведений, составляющих государственную тайну. Все это требует принятия дополнительных мер по защите государственной тайны. К таким мерам относятся: организация технологического процесса, исключающая пересечение во времени и пространстве защищаемых и не защищаемых изделий; выделение специальных технических территорий, куда доступ иностранных представителей запрещен; использование активных средств противодействия разведке ПЭМИН, акустической разведке; выявление дополнительных каналов утечки информации, в том числе за счет доступа иностранных представителей в места сора отходов производства, изготовления технологических приспособлений и тому подобное; регулярное проведение специальных проверок помещений и технических средств; выявление возможных скрытых каналов разглашения сведений (несекретные библиотеки, базы данных, конференции, совместные публикации и др.), профилактическая работа с персоналом по вопросам предупреждения разглашения сведений; при невозможности скрытия защищаемых сведений использование приемов введения в заблуждение или создания у потенциальной разведки неопределенности относительно истинного содержания проводимых работ; более частое проведение контрольных мероприятий с целью выявления возможных предпосылок к утечке информации и их пресечению.
Передача сведений в каждом отдельном случае осуществляется по решению Правительства Российской Федерации при наличии экспертного заключения Межведомственной комиссии по защите государственной тайны о возможности передачи этих сведений. Обязательства принимающей стороны по защите передаваемых ей сведений предусматриваются в заключаемом с ней международном договоре, разделы (статьи, пункты) которого должны содержать: соотнесение степеней секретности передаваемых сведений в Российской Федерации и в иностранном государстве; перечень компетентных органов, уполномоченных осуществлять прием (передачу) сведений и несущих ответственность за их защиту; порядок передачи сведений; требования к использованию и обработке передаваемых сведений; обязательства о нераспространении передаваемых сведений третьим странам и их защите в соответствии с внутренним законодательством принимающей стороны; порядок разрешения конфликтных ситуаций и возмещения возможного ущерба.
1. Защита считается комплексной, если она осуществляется против всех опасных в данной обстановке угроз: различных видов разведки, несанкционированного доступа, несанкционированных и непреднамеренных воздействий на информацию. 2. При комплексной защите осуществляется защита всех уязвимых составных частей объектов, на всех этапах их жизненного цикла. 3. Комплексная защита подразумевает использование всего спектра мер и средств защиты информации, включая правовые, организационные, технические, социально-экономические и другие меры. При чем, эти меры должны быть не изолированными, а образовывать систему мер. 4. Комплексная защита предполагает наличие управления мерами и средствами защиты по результатам отслеживания обстановки и контроля состояния защиты информации
защиту носителей информации от несанкционированного доступа к ним посторонних лиц; защиту носителей информации от внешних воздействующих факторов.
Защита носителей информации от несанкционированного доступа к ним посторонних лиц осуществляется путем создания систем охранной сигнализации и всевозможных устройств, препятствующих доступу (проникновению) этих лиц к защищаемым объектам (сейфов, закрываемых хранилищ, управляемых пунктов пропуска и т. д.). Под внешними воздействующими факторами понимаются природные или техногенные явления и процессы, а также действия субъектов, в результате которых может произойти несанкционированное и/или непреднамеренное воздействие на носитель на информацию. Последствиями воздействия таких факторов могут быть уничтожение носителей информации или только одной информации, сбои в их функционировании, в том числе систем защиты информации. Примерами внешних воздействующих факторов могут служить воздействие повышенной температуры окружающей среды, повышенный радиационный и электромагнитный фон, возникновение мощных электромагнитных полей при ударах молнии, повышенная влажность воздуха, его загрязнение, наличие в воздухе агрессивных веществ и т.д. Защита информации от внешних воздействующих факторов достигается мерами, изолирующими носители информации от внешней среды, повышением помехозащищенности средств передачи и обработки информации, дублированием информации. К мерам защиты от внешних воздействующих факторов относятся экранирование помещений, поддержание постоянной температуры и влажности воздуха системами искусственного климата, применение систем автономного электропитания и другие меры. 47. Защита информации от ее утечки по техническим каналам. Технический канал утечки информации - совокупность объекта защиты, физической среды и средства технической разведки, которым добывается защищаемая информация. Мероприятия по технической защите информации от ее утечки по техническим каналам направлены на исключение или существенное затруднение получения разведками защищаемой документированной информации, а также недокументированной речевой, телевизионной и другой информации, содержащей сведения, составляющие государственную тайну. К объектам защиты от утечки информации по техническим каналам относятся: технические средства обработки информации (ТСОИ), которые подразделяются на основные (ОТСС) и вспомогательные средства и системы (ВТСС); помещения, где они установлены ТСОИ; выделенные помещения (ВП), специально предназначенные для ведения секретных переговоров. Для добывания информации могут быть использованы следующие внешние проявления объектов защиты: основные излучения средств и систем радиосвязи, если по ним передаются охраняемые сведения в открытом виде; побочные электромагнитные излучения ОТСС, используемых для обработки или передачи охраняемых сведений, и наводки от ОТСС на ВТСС, а также на токопроводящие линии (в том числе на цепи питания и заземления, системы водо-, тепло-, газоснабжения, выходящие за пределы контролируемой зоны); акустические излучения из выделенных помещений; наблюдаемые через стекла зданий документы, экраны мониторов, артикулярные проявления речи; наличие защищаемой информации или ее элементов в электронных базах данных ЭВМ, включенных в компьютерные сети открытого типа. К основным мероприятиям по защите информации в ОТСС и ВТСС относятся: 1. Проведение категорирования образцов ОТСС. 2. Обеспечение при эксплуатации ОТСС контролируемой зоны, радиус которой определяется категорией ОТСС и размерами опасной зоны (зоны 2). 3. Размещение ВТСС за пределами зоны, в которой возможно создание электромагнитными излучениями работающих ОТСС наводок информативного сигнала на ВТСС. 4. Размещение телефонных линий, сетей электропитания, сигнализации и т.п. (“распределенных антенн”), имеющих выход за границы контролируемой зоны, в местах, где не создаются наводки электромагнитных излучений защищаемых ОТСС. 5. Оборудование помещений, в которых эксплуатируются ОТСС системой схемного заземления, осуществляемой по схеме “ветвящегося” дерева, не имеющей замкнутых контуров. 6. Обеспечение электропитания ОТСС от автономного источника питания, расположенного в пределах контролируемой зоны. 7. При невозможности обеспечения контролируемой зоны заданных размеров рекомендуется проведение частичной экранировки помещения или применение систем пространственного зашумления в районе размещения защищаемого ОТСС. 8. Применение средств линейного электромагнитного зашумления линий электропитания, радиотрансляции, заземления, связи имеющих выход за пределы контролируемой зоны.
1. Категорирование выделенных помещений в зависимости от важности и условий обмена (обработки) информации. 2. Назначение сотрудников, ответственных за выполнение требований по защите информации в выделенных помещениях. 3. Разработка для выделенных помещений частных инструкций по обеспечению безопасности информации в помещениях. 4. Обеспечение контроля за доступом в выделенные помещения, а также в смежные помещения. 5. Проведение в ВП обязательных визуальных (непосредственно перед совещаниями) и инструментальных (перед ответственными совещаниями и периодически) проверок на наличие внедренных закладных устройств, в том числе осуществление контроля всех посторонних предметов, подарков, сувениров и прочих предметов, оставляемых в ВП. 6. Исключение неконтролируемого доступа к линиям связи, управления сигнализации в ВП, а также в смежные помещения и в коридор. 7. Оснащение телефонных аппаратов ГАТС, расположенных в выделенных помещениях, устройствами высокочастотной развязки и подавления слабых сигналов. Оснащение телефонов специальными шифраторами (скремблерами). 8. Исключение применения в выделенных помещениях технических средств и аппаратуры, не прошедших специсследований, спецпроверки и не разрешенных для использования в данном помещении. 9. Осуществление контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах. 10. Обеспечение требуемого уровня звукоизоляции входных дверей ВП. 11. Обеспечение требуемого уровня звукоизоляции окон ВП. 12. Демонтирование или заземление (с обеих сторон) лишних (незадействованных) в ВП проводников и кабелей. 13. Отключение при проведении совещаний в ВП всех неиспользуемых электро- и радиоприборов от сетей питания и трансляции. Каталог: files files -> Вопросы сертификационного экзамена для врачей по специальности «лфк и спортивная медицина» files -> Рабочая программа составлена в соответствии с Требованиями к содержанию дополнительных профессиональных образовательных программ files -> Рабочая программа дисциплины Лечебная физическая культура и массаж Направление подготовки 050100 Педагогическое образование files -> Лечебная физкультура files -> К рабочей программе дисциплины «Лечебная физкультура и спортивная медицина» files -> Рабочая программа учебной дисциплины «медицинская реабилитация» цикла Медицинская реабилитация для специальности 310501 «Лечебное дело» по специализации 310501 «Лечебное дело» files -> Лекции (час) Семинары (час) Самост работа Всего баллов Модуль 1 files -> Влияние мобильного телефона на здоровье человека Скачать 469.19 Kb. Поделитесь с Вашими друзьями:
|