- •Организационное обеспечение информационной безопасности
- •Введение
- •Раздел 1. Основы организации обеспечения информационной безопасности и зи
- •1.1. Основные положения концепции обеспечения информационной безопасности рф
- •1.2. Распределение полномочий по обеспечению информационной безопасности в рф
- •1.3. Научно-технические проблемы, требующие скоординированных действий различных органов государственной власти
- •1.4. Технологическая схема организации зи
- •1.4.1. Организационно-правовое обеспечение информационной безопасности
- •1.4.2. Инженерно-технические методы и средства защиты информации
- •1.4.3. Программные и программно-аппаратные методы и средства обеспечения информационной безопасности
- •1.5. Сбор информации о защищаемых объектах
- •1.6. Оценка состояния безопасности информации
- •1.7. Определение целей и задач зи. Принятие решений по зи
- •1.8. Планирование и организация выполнения мероприятий по зи
- •Раздел 2. Система документов в области обеспечения информационной безопасности и защиты информации
- •2.1. Обоснование необходимой и достаточной системы документов в области зи. Общегосударственные документы
- •2.2. Организационно-распорядительные документы
- •2.3. Специальные нормативные документы фстэк России по вопросам защиты информации от технических разведок, несанкционированного доступа и несанкционированных воздействий на информацию
- •2.3.1. Комплексная защита
- •2.3.2. Физическая защита объектов
- •2.3.3. Противодействие техническим разведкам
- •2.3.4. Защита информации от ее утечки по техническим каналам
- •2.3.5. Защита информации от несанкционированного доступа
- •2.3.6. Нормативные документы государственной системы стандартизации
- •Раздел 3. Определение целей и задач обеспечения информационной безопасности и защиты информации
- •3.2. Обоснование целей и задач зи. Показатели эффективности достижения целей и решения задач зи
- •3.3. Обоснование перечней охраняемых сведений об объектах защиты. Обоснование перечней защищаемых информационных ресурсов. Обоснование требований по защите объектов
- •Раздел 4. Лицензирование деятельности в области зи
- •4.1. Правовые основы лицензирование деятельности в области зи
- •4.2. Структура системы лицензирования, функции ее органов
- •4.2.1.Организационная структура системы государственного лицензирования деятельности предприятий в области защиты информации
- •4.2.2. Государственные органы по лицензированию в пределах своей компетенции осуществляют следующие функции
- •4.2.3. Лицензионные центры осуществляют следующие функции
- •4.2.4. Лицензиаты обязаны
- •4.3. Порядок проведения лицензирования. Распределений полномочий по лицензированию деятельности в области зи между федеральными органами государственной власти
- •4.3.1. Порядок проведения лицензирования предприятий-заявителей в области защиты информации включает следующие действия
- •4.3.1.1. Экспертиза предприятия-заявителя
- •4.3.1.2. Заявление на получение лицензии
- •4.3.1.3. Оформление лицензии и ее выдача
- •4.3.1.4. Рассмотрение спорных вопросов
- •4.3.1.5. Досрочное приостановление или прекращение действия лицензии
- •4.3.1.6. Учёт лицензиатов
- •4.3.2. Контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации
- •Раздел 5. Сертификация средств зи
- •5.1. Правовые основы сертификации зи
- •5.2. Структура системы сертификации, функции ее органов. Распределений полномочий по сертификации средств зи между федеральными органами государственной власти
- •5.3. Порядок сертификации зи
- •Раздел 6. Аттестация объектов информатизации по требованиям безопасности информации
- •6.1. Правовые основы аттестации объектов информатизации по требованиям безопасности информации
- •6.2. Структура системы аттестации, функции ее органов. Распределений полномочий по аттестации между федеральными органами государственной власти
- •6.3. Порядок аттестации объектов информатизации органов управления, промышленных объектов, систем информатизации и связи
- •Раздел 7. Подготовка (переподготовка) и повышение квалификации специалистов в области зи
- •7.1. Правовые основы подготовки специалистов в области зи
- •7.2. Система учебных заведений. Перечень специальностей. Основные нормативные документы по подготовке специалистов в области зи
- •7.2.1. Специальность 090102 "Компьютерная безопасность"
- •7.2.2. Специальность 090105 “Комплексное обеспечение информационной безопасности”
- •7.2.3. Специальность 090106 “Информационная безопасность телекоммуникационных систем”
- •Раздел 8. Организация контроля состояния зи
- •8.1. Правовые основы контроля состояния зи
- •8.2. Основные организационно-распорядительные и нормативные документы по контролю состояния зи
- •8.3. Цели и задачи контроля
- •8.4. Формы контроля: межведомственный контроль; ведомственный контроль; контроль, осуществляемый собственником информации
- •239 8.5. Органы контроля
- •8.6. Контроль организации и эффективности зи
- •8.7. Нарушения установленных требований и норм зи
- •Раздел 9. Организация зи на объектах органов государственной власти и управления
- •9.1. Требования к содержанию Руководств по зи на объекте
- •9.2. Цели и задачи зи. Определение защищаемых информационных ресурсов
- •9.3. Оценка возможностей технических разведок и других источников угроз безопасности информации
- •9.4. Разработка организационных и технических мероприятий по зи
- •9.5. Аттестация объектов информатизации по требованиям безопасности информации.
- •Раздел 10. Организация зи в системах и средствах информатизации и связи
- •10.1. Объекты защиты. Цели и задачи зи
- •10.2. Оценка возможностей технических разведок и других источников угроз безопасности информации
- •10.3. Разработка организационных и технических мероприятий по зи
- •10.4. Контроль состояния зи в системах и средствах информатизации и связи
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14.
Раздел 4. Лицензирование деятельности в области зи
Правовые основы лицензирование деятельности в области ЗИ. Структура системы лицензирования, функции ее органов. Порядок проведения лицензирования. Распределений полномочий по лицензированию деятельности в области ЗИ между федеральными органами государственной власти.
4.1. Правовые основы лицензирование деятельности в области зи
Основным нормативным документом в этой области является федеральный закон от 08.08.2001 N 128-ФЗ "О лицензировании отдельных видов деятельности".
Следует отметить, что Гражданский кодекс Российской Федерации предполагает, что любые ограничения прав и свобод граждан допускаются только на законодательном уровне (Ст.49.1).
Очевидно, выход такого Закона явился вынужденной мерой. Ведь к моменту его появления из-за отсутствия нормативной базы лицензионная деятельность отдельных министерств, ведомств и субъектов Российской Федерации стала носить характер скорее экономический (как средство пополнения бюджета), чем контролирующий. Эта деятельность шла в разрез с антимонопольным законодательством и нарушала основные права личности, провозглашенные Конституцией России.
Обеспечение работ по государственному лицензированию по вопросам защиты информации и сертификации систем и средств информатизации и связи, средств защиты информации, возложено на ФСТЭК России.
Изучение собственно системы лицензирования не входит в круг рассматриваемых вопросов и может явиться темой отдельного сообщения. Необходимо только отметить, что система лицензирования деятельности в области зашиты информации вступила в силу с 1 января 1995 года, и к настоящему времени развернута сеть отраслевых и региональных лицензионных центров, аккредитованных ФСТЭК России. По их представлению выдано более 100 лицензий на право осуществления деятельности в области защиты информации.
Следующим по времени, но не по значению, в этом ряду стоит Закон Российской Федерации 1993 года N 5485-1 "О государственной тайне". Статья 27 этого закона гласит о том, что допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации и оказанием услуг по защите государственной тайны, осуществляется путем получения ими лицензий на проведение этих работ.
Сами же средства защиты должны иметь сертификат, удостоверяющий, что они соответствуют требованиям по защите (ст.28). Организация сертификации средств защиты информации этим законом возложена на ФСТЭК России, ФСБ, Минобороны России в пределах их компетенции.
Развитием положений данного Закона является вышедшее 15 апреля 1995 года Постановление Правительства Российской Федерации N 333 "О лицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием сведений составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" (в ред. Постановлений Правительства РФ от 23.04.96 N 509 от 30.04.97 N513 от 29.07.98 N584 от 03.10.2002 N 731 от 17.12.2004 N 807 ), которое и определяет пределы компетенции органов, уполномоченных на ведение лицензионной деятельности (п.2):
по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну - ФСБ России и ее территориальные органы - на территории России, СВР России - за рубежом;
на право проведения работ, связанных с созданием средств защиты информации ФСТЭК России - в пределах её компетенции;
- на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны - ФСБ России и ее территориальные органы, ФАПСИ, ФСТЭК России, СВР России в пределах их компетенции.