9. Порядок эксплуатации программных и технических средств и систем защиты секретной информации от НСД
9.1. Обработка информации в АС должна производиться в соответствии с технологическим процессом обработки секретной информации, разработанным и утвержденным в порядке, установленном на предприятии для проектирования и эксплуатации АС.
9.2. Для эксплуатации СЗСИ — комплекса программно-технических средств и организационных мероприятий по их сопровождению, направленного на исключение несанкционированного доступа к обрабатываемой в АС информации, приказом руководителя предприятия (структурного подразделения) назначаются лица, осуществляющие:
>• сопровождение СЗСИ, включая вопросы организации работы и контроля за использованием СЗСИ в АС;
>• оперативный контроль за функционированием СЗСИ;
>• контроль соответствия общесистемной программной среды эталону;
>• разработку инструкции, регламентирующей права и обязанности операторов (пользователей) при работе с секретной информацией.
10. Порядок контроля эффективности защиты секретной информации в АС
10.1. Контроль эффективности защиты информации в АС проводится в целях проверки сертификатов на средства защиты и соответствия СЗИ требованиям стандартов и нормативных документов Гостехкомиссии России по защите информации от НСД на следующих уровнях:
>• государственном, осуществляемом Инспекцией Гостехкомиссии России по оборонным работам и работам, в которых используются сведения, составляющие государственную тайну;
>• отраслевом, осуществляемом ведомственными органами контроля (главными научно-техническими и режимными управлениями, головными организациями по защите информации в АС);
>• на уровне предприятия (отдельной организации), осуществляемом военными представительствами Вооруженных Сил (по оборонным работам), специальными научно-техническими подразделениями и режимно-секретными службами (органами, службами безопасности).
10.2. Инициатива проведения проверок принадлежит организациям, чья информация обрабатывается в АС, Гостехкомиссии России и ведомственным (отраслевым) органам контроля.
10.3. Проверка функционирующих средств и систем защиты информации от НСД осуществляется с помощью программных (программно-технических) средств на предмет соответствия требованиям ТЗ с учетом классификации АС и степени секретности обрабатываемой информации.
10.4. По результатам проверки оформляется акт, который доводится до сведения руководителя предприятия, пользователя и других организаций и должностных лиц в соответствии с уровнем контроля.
10.5. В зависимости от характера нарушений, связанных с функционированием средств и систем защиты информации от НСД, действующей АС в соответствии с положением о Гостехкомиссии России могут быть предъявлены претензии вплоть до приостановки обработки информации, выявления и устранения причин нарушений.
Возобновление работ производится после принятия мер по устранению нарушений и проверки эффективности защиты органами контроля и только с разрешения органа, санкционировавшего проверку.
В случае прекращения работ по результатам проверки Инспекцией Гостехкомиссии России они могут быть возобновлены только с разрешения Гостехкомиссии России, а в отношении должностных лиц, виновных в этих нарушениях, решается вопрос о привлечении их к ответственности в соответствии с требованиями Инструкции № 0126-87 и действующим законодательством.
11. Порядок обучения, переподготовки и повышения квалификации специалистов в области защиты информации от НСД
11.1. Подготовка молодых специалистов и переподготовка кадров в области защиты информации, обрабатываемой в АС, от НСД осуществляется в системе Госкомитета Российской Федерации по делам науки и высшей школы и Вооруженных Сил кафедрами вычислительной техники и автоматизированных систем высших учебных заведений по договорам с министерствами, ведомствами и отдельными предприятиями.
11.2. Подготовка осуществляется по учебным программам, согласованным с Гостехкомиссией России.
11.3. Повышение квалификации специалистов, работающих в этой области, осуществляют межотраслевые и отраслевыми институты повышения квалификации и вышеуказанные кафедры вузов по программам, согласованным с Гостехкомиссией России и отраслевыми органами контроля.
«ПОЛОЖЕНИЕ
О ГОСУДАРСТВЕННОМ ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ» Совместное решение Гостехкомиссии России и ФАПСИ № 10 от 27 апреля 1994 г.
1.1. Настоящее Положение устанавливает основные принципы, организационную структуру системы государственного лицензирования деятельности предприятий, организаций и учреждений (далее — предприятий) независимо от их ведомственной принадлежности и форм собственности в области защиты информации, обрабатываемой (передаваемой) техническими средствами, а также порядок лицензирования и контроля за деятельностью предприятий, получивших лицензии.
1.2. Система Государственного лицензирования предприятий в области защиты информации является составной частью Государственной системы защиты информации.
Деятельность системы Государственного лицензирования организуют Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России), Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) и другие министерства и ведомства в пределах компетенции, установленной законодательством Российской Федераций.
1.3. Государственному лицензированию подлежат следующие виды деятельности по защите информации.
1.3.1. Гостехкомиссией России:
а) сертификация защищенных средств обработки информации, средств защиты и контроля защищенности информации, программных средств по требованиям безопасности информации;
б) аттестование объектов информатики(СМ.Сноску 1) на соответствие требованиям по безопасности информации;
в) специсследования на побочные электромагнитные излучения и наводки технических средств обработки информации (ТСОИ) на соответствие требованиям по безопасности информации;
г) экспертиза программных средств защиты информации и защищенных программных средств обработки информации на соответствие требованиям по предотвращению несанкционированного доступа к информации;
д) создание, монтаж, наладка, установка, ремонт, сервисное обслуживание технических средств защиты информации, защищенных ТСОИ, технических средств контроля эффективности мер защиты информации, программных средств защиты информации, защищенных программных Средств обработки информации, программных средств контроля защищенности информации;
е) проектирование объектов информатики в защищенном исполнении;
ж) контроль защищенности, информации в ТСОИ и на объектах информатики.
1.3.2. ФАПСИ:
а) разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация шифровальных средств, предназначенных для криптографической защиты информации, содержащей сведения, составляющие государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации;
б) разработка, производство, проведение сертификационных испытаний, эксплуатация систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации;
1.4. Государственная лицензия на право деятельности по защите информации выдается подавшему заявку на получение такой лицензии предприятию, располагающему необходимой испытательной базой, нормативной и
___
Сноска 1. Под объектами информатики понимаются автоматизированные системы, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также помещения, предназначенные для ведения конфиденциальных переговоров.
___
методической документацией, научным и инженерно-техническим персоналом, обладающим современным уровнем знаний в соответствующей области деятельности на основании результатов экспертизы деятельности предприятия по заявленному направлению работ.
1.5. Лицензии на реализацию и эксплуатацию шифровальных средств, закрытых систем и комплексов телекоммуникаций, а также на предоставление услуг в области шифрования информации выдаются предприятиям только при наличии сертификатов ФАПСИ на указанные средства, системы и комплексы.
1.6. Лицензиат, предоставляющий услуги по шифрованию информации, обязан обеспечить тайну переписки, телефонных переговоров, документальных и иных сообщений лиц, пользующихся этими услугами, а в необходимых случаях обеспечить возможность проведения оперативно-розыскных и следственных мероприятий в соответствии с действующим законодательством Российской Федерации.
1.7. Лицензии на использование шифровальных средств, закрытых систем и комплексов телекоммуникаций для криптографической защиты информации при передаче ее по каналам взаимоувязанной сети связи (ВСС) выдаются только при наличии соответствующих сертификатов и лицензий Министерства связи Российской Федерации.
1.9. Государственная лицензия выдается заявителю на конкретный вид деятельности на срок до 3-х лет, по истечению которых лицензия продлевается на очередные три года, установленным в п. 3.1.4. порядком.
1.10. Лицензиаты несут юридическую и финансовую ответственность за полноту и качество выполнения работ и обеспечение сохранности государственных и коммерческих секретов, доверенных им в ходе практической деятельности.
1.11. Юридические и физические лица, осуществляющие деятельность, виды которой указаны в п. 1.3. настоящего Положения, без лицензии или нарушившие установленные правила лицензирования деятельности несут ответственность, предусмотренную законодательством Российской Федерации.
2.1. Организационную структуру государственной системы лицензирования деятельности предприятий в области защиты информации образуют: