Руководитель |
К.Б. Пуликовский |
Руководящие документы РД-21-01-2006
"Положение о системе защиты информации в компьютерных и телекоммуникационных сетях федеральной службы по экологическому, технологическому и атомному надзору"
(утв. приказом Федеральной службы по экологическому, технологическому и атомному надзору от 26 июня 2006 г. N 624)
Введено в действие с 1 августа 2006 г.
I. Общие положения
1. Положение о системе защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (далее - Положение) разработано в соответствии с федеральными законами от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" и от 21 июля 1993 г. N 5485-1 "О государственной тайне", Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденным постановлением Правительства Российской Федерации от 15 сентября 1993 г. N 912-51 и государственным стандартом Российской Федерации ГОСТ Р 50922-96 "Защита информации. Основные термины и определения".
2. Положение определяет цели защиты информации, содержащей сведения, составляющие государственную тайну и конфиденциальную информацию, организационную структуру системы защиты информации в Федеральной службе по экологическому, технологическому и атомному надзору (далее - Служба), задачи и функции указанной системы, мероприятия по защите информации и контролю за ее состоянием.
3. Требования Положения являются обязательными для работников центрального аппарата и территориальных органов Службы, а также находящихся в ее ведении организаций (далее - подведомственные организации), на которых возлагаются организация, осуществление и контроль мероприятий по защите информации.
4. В Положении используются термины и их определения, установленные в актах, указанных в п. 1 настоящего документа (приложение N 1 к настоящему Положению).
II. Цели защиты информации
5. Основными целями защиты информации в Службе от существующих угроз (приложение N 2 к настоящему Положению) являются:
а) предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения работниками, несанкционированного доступа к ней и получения защищаемой информации разведками, криминальными и коммерческими структурами;
б) предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в информационной системе Службы;
в) предотвращение утрат, уничтожения или сбоев функционирования носителей информации;
г) соблюдение правового режима использования информационных ресурсов и системы, обеспечение полноты, целостности, достоверности информации в информационной системе;
д) сохранение возможности управления процессом обработки и пользования информацией работниками Службы.
III. Организационная структура системы защиты информации
6. Головным органом по вопросам защиты информации в Службе является Межрегиональный территориальный округ по информатизации и защите информации Федеральной службы по экологическому, технологическому и атомному надзору (далее - МТОИЗИ).
7. Основные задачи МТОИЗИ:
а) обеспечение единого подхода к организации и осуществлению надзора за соблюдением требований федеральных норм и правил при обеспечении защиты информации в Службе;
б) организация и проведение работ по защите информации в компьютерных и телекоммуникационных сетях центрального аппарата Службы;
в) организация и осуществление контроля и надзора за проведением работ по защите информации в локальных вычислительных сетях и информационно-коммуникационной системе Службы.
8. Основные функции МТОИЗИ:
а) организация работ по защите информации в центральном аппарате Службы, а также методическое руководство и контроль за эффективностью предусмотренных мер защиты информации в Службе;
б) разработка и периодическое уточнение Перечня используемых в Службе сведений конфиденциального характера;
в) анализ угроз безопасности информации и оценка реальной возможности перехвата информации техническими средствами, несанкционированного доступа, разрушения, уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения в технических средствах обработки информации;
г) предотвращение проникновения к источникам информации с целью ее уничтожения, хищения или изменения;
д) защита носителей информации;
е) выявление возможных технических каналов утечки информации ограниченного доступа (приложение N 3 к настоящему Положению) и фактов разглашения защищаемой информации;
ж) контроль за выполнением требований законодательных, нормативно-правовых, организационно-распорядительных и методических документов как федерального уровня, так и принятых в Службе, в области защиты информации.
9. Систему защиты информации в компьютерных и телекоммуникационных сетях Службы образуют:
- руководитель Службы;
- техническая комиссия по защите информации в компьютерных и телекоммуникационных сетях Службы;
- МТОИЗИ (отделы организации и контроля за защитой информации в автоматизированных системах управления и эксплуатации информационно-коммуникационных систем Службы);
- начальники управлений центрального аппарата Службы;
- руководители территориальных органов и подведомственных организаций;
- подразделения (штатные работники) по защите информации территориальных органов и подведомственных организаций;
- пользователи (потребители) информации.
10. Руководитель Службы организует защиту информации в компьютерных и телекоммуникационных сетях Службы.
Непосредственное руководство работами по защите информации осуществляет руководитель Службы или один из его заместителей.
11. Техническая комиссия по защите информации в компьютерных и телекоммуникационных сетях Службы является постоянно действующим органом при руководителе Службы и осуществляет координацию работ по вопросам обеспечения защиты информации.
Полномочия и порядок работы технической комиссии по защите информации в компьютерных и телекоммуникационных сетях Службы определяются Положением, разрабатываемым МТОИЗИ и утверждаемым руководителем Службы.
12. МТОИЗИ организует работу по защите информации, а также осуществляет методическое руководство и контроль за эффективностью предусмотренных мер защиты информации в Службе.
МТОИЗИ по вопросам защиты информации подчиняется руководителю Службы или, по его решению, одному из заместителей.
Отдел организации и контроля за защитой информации в автоматизированных системах управления МТОИЗИ осуществляет методическое руководство организацией защиты информации, а также контроль за выполнением и эффективностью предусмотренных мер защиты информации в центральном аппарате Службы, ее территориальных органах и подведомственных организациях.
Основные задачи, функции, права и ответственность отдела организации и контроля за защитой информации в автоматизированных системах управления МТОИЗИ определяются соответствующим Положением, утверждаемым руководителем МТОИЗИ.
Отдел эксплуатации информационно-коммуникационных систем Службы МТОИЗИ организует выполнение работ по защите информации в компьютерных и телекоммуникационных системах центрального аппарата Службы.
13. Начальники управлений центрального аппарата Службы контролируют в своих управлениях выполнение предусмотренных мер защиты информации, определенных Общими требованиями к порядку работы пользователей и осуществлению контроля со стороны руководителей структурных подразделений за их действиями в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (приложение N 4 к настоящему Положению) и отвечают за ее состояние перед руководителем Службы.
14. Руководители территориальных органов и подведомственных организаций организуют проведение работ по защите информации в структурных подразделениях. Отчитываются за состояние защиты информации перед руководителем Службы через МТОИЗИ.
15. В зависимости от объема работ по защите информации руководители территориальных органов и подведомственных организаций создают структурные подразделения по защите информации или назначают штатных работников по этим вопросам.
Положение о подразделении по защите информации разрабатывается на основе Типового положения о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации) с учетом особенностей конкретного территориального органа, подведомственной организации (приложение N 5 к настоящему Положению).
Для работника по защите информации на основе указанного положения разрабатывается должностной регламент.
Подразделения (штатные работники) по защите информации подчиняются непосредственно руководителю территориального органа (подведомственной организации) или его заместителю.
16. Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия, имеющие лицензии на право проведения работ в области защиты информации.
17. Работники подразделений по защите информации приравниваются по оплате труда, льготам и премированию к соответствующим категориям работников основных структурных подразделений. Они имеют право на получение процентных надбавок к должностному окладу должностных лиц и граждан, допущенных к государственной тайне, установленных постановлением Правительства Российской Федерации от 14 октября 1994 г. N 1161.
18. Назначение и освобождение от должности руководителя подразделения (штатного работника) по защите информации производится руководителем территориального органа (подведомственной организации) с уведомлением МТОИЗИ.
19. Пользователи (потребители) информации при работе в локальной вычислительной сети и на своих ПЭВМ обязаны выполнять предусмотренные меры защиты информации, определенные Общими требованиями к порядку работы пользователей и осуществлению контроля со стороны руководителей структурных подразделений за их действиями в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору.
Пользователи (потребители) информации несут непосредственную ответственность за обеспечение защиты информации.
20. Все должностные лица, отвечающие за организацию и выполнение мероприятий по защите информации, несут, в зависимости от степени возможного ущерба в случае ее утечки, разрушения (уничтожения), административную и уголовную ответственность (приложение N 6 к настоящему Положению).
IV. Объекты защиты информации. Мероприятия и методы по их защите
21. Объектами защиты в Службе являются информация, ее материальные носители и технические средства обработки информации.
Защите подлежат:
а) информационные ресурсы, содержащие сведения, отнесенные к государственной тайне или конфиденциальной информации, представленные в виде носителей на магнитной или оптической основе, информативных физических полей, информационных массивов и баз данных;
б) средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации, используемые для обработки информации, содержащей сведения, отнесенные к государственной тайне или конфиденциальной информации;
в) технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается информация, содержащая сведения, отнесенные к государственной тайне или конфиденциальной информации;
г) выделенные (защищаемые) помещения.
22. Мероприятия по защите информации являются составной частью управленческой, научной и производственной деятельности. Они организуются и проводятся, в пределах своей компетенции, всеми должностными лицами, входящими в систему защиты информации Службы.
23. Проведение любых мероприятий и работ с использованием сведений, отнесенных к государственной тайне и конфиденциальной информации, без принятия необходимых мер по защите информации не допускается.
24. В целях предотвращения и нейтрализации угроз безопасности информации применяются правовые, аппаратно-программные методы и организационно-технические мероприятия.
Правовые методы предусматривают разработку организационно-распорядительных и руководящих документов Службы в области защиты информации.
Аппаратно-программные методы включают:
а) аппаратные методы защиты:
- предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими средствами, а также за счет электроакустических преобразований;
- исключение или существенное затруднение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации за счет применения реквизитов защиты (паролей, идентифицирующих кодов), устройств измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
- применение устройств для шифрования информации;
- выявление возможно внедренных в импортные технические средства специальных устройств съема (ретрансляции) или разрушения информации (закладных устройств);
б) программные методы защиты:
- предотвращение специальных программно-математических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств вычислительной техники (далее - СВТ);
- идентификацию технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей;
- определение прав пользователей (потребителей) информации (дни и время работы, разрешенные к использованию задачи и технические средства обработки информации);
- контроль работы технических средств и пользователей;
- регистрацию работы технических средств и пользователей при обработке информации ограниченного доступа;
- уничтожение информации в записывающем устройстве после использования;
- сигнализацию при несанкционированных действиях;
- вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности (конфиденциальности) на выдаваемых документах;
в) резервное копирование (хранение копий информации на различных носителях);
г) криптографическое шифрование информации.
Организационно-технические мероприятия предусматривают:
а) осуществление мероприятий защиты информации при оборудовании и создании вычислительных центров, автоматизированных сетей (далее - АС) и автоматизированных рабочих мест;
б) подбор и подготовку персонала для обслуживания СВТ и АС;
в) разработку и утверждение функциональных обязанностей должностных лиц, отвечающих за защиту информации;
г) контроль за действиями персонала в защищенных автоматизированных системах;
д) создание и обеспечение функционирования систем защиты информации ограниченного доступа;
е) сертификацию этих систем по требованиям безопасности информации;
ж) аттестацию СВТ, автоматизированных систем и помещений;
з) привлечение на договорной основе для проведения работ по защите информации специализированных организаций, имеющих лицензии на право проведения работ в области защиты информации;
и) стандартизацию способов и средств защиты информации;
к) организацию хранения и использования документов и носителей;
л) физическую защиту от внешних воздействующих факторов, вызванных явлениями природы;
м) физические меры защиты (изоляция помещений с СВТ, установка контролируемых зон, пропускной режим, охранная сигнализация).
25. Защите также подлежат технические средства, не обрабатывающие информацию, но размещенные в помещениях, где информация обрабатывается. К ним относятся системы и средства радиотрансляции, пожарной и охранной сигнализации, часофикации и другие.
V. Контроль состояния защиты информации
26. Целью контроля состояния защиты информации в Службе является своевременное выявление и предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-математических воздействий на информацию, оценка эффективности ее защиты.
27. Организация и проведение контроля возлагаются на входящий в состав МТОИЗИ отдел организации и контроля за защитой информации в автоматизированных системах управления.
Осуществляемый указанным отделом контроль распространяется на подразделения центрального аппарата и территориальные органы Службы, на подведомственные организации и предусматривает определение степени соответствия проводимых на местах мероприятий по защите информации положениям федеральных законов, актов Президента Российской Федерации и Правительства Российской Федерации, иных действующих в области защиты информации нормативных правовых актов, а также соответствующих организационно-распорядительных и руководящих документов Службы.
28. Контроль осуществляется посредством комплексных и целевых проверок.
Комплексная проверка предусматривает проверку деятельности территориального органа (подведомственной организации) по всем или большей части вопросов защиты информации, находящихся в компетенции Службы. Данная проверка проводится, как правило, комиссией, включающей специалистов по защите информации и информационных систем. К ее проведению могут привлекаться (по согласованию) представители специализированных предприятий, имеющих лицензии на право проведения работ в области защиты информации.
Целевая проверка предусматривает детальную проверку одного или нескольких вопросов защиты информации. Данная проверка может проводиться как комиссией, так и специалистами по защите информации.
При проведении проверок в обязательном порядке проверяется устранение недостатков, выявленных в ходе предыдущих проверок.
Проверки могут быть плановыми и внеплановыми. О плановых проверках территориальные органы (подведомственные организации) уведомляются заранее (не позднее, чем за 15 дней до ее начала), о внеплановых - непосредственно перед их началом. Внеплановые проверки могут проводиться в связи с невыполнением требований или норм по защите информации, в результате чего в территориальном органе (подведомственной организации) имелась или имеется реальная возможность ее утечки по техническим каналам (нарушение первой категории*) и в других случаях по решению руководителя Службы, технической комиссии при руководителе Службы или руководителя МТОИЗИ.
Продолжительность проверки (независимо от ее вида), как правило, не должна превышать 5 календарных дней.
29. Результаты проверки оформляются актом.
Кроме того, при выявлении в процессе проверки нарушений установленных требований и норм по защите информации (нарушения первой и второй категорий) должно оформляться предписание об устранении этих нарушений (приложение N 8 к настоящему Положению).
По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "приложение N 7"
Акт и предписание должны быть подписаны руководителем и членами комиссии (специалистами) и выданы под роспись руководителю проверяемого территориального органа (подведомственной организации) или отправлены по почте не позднее 15 дней после окончания проверки.
30. При обнаружении нарушений первой категории руководитель проверяемого территориального органа (подведомственной организации) обязан:
немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры по их устранению;
организовать в установленном порядке расследование причин и условий появления нарушения с целью недопущения их в дальнейшем и привлечении к ответственности виновных лиц;
сообщить в Службу (через МТОИЗИ) о вскрытых нарушениях и принятых мерах.
Возобновление работ разрешается после устранения нарушений и проверки достаточности принятых мер, проводимой специалистами МТОИЗИ или соответствующим территориальным Управлением Федеральной службы по техническому и экспортному контролю Российской Федерации.
При обнаружении нарушений второй и третьей категорий руководители проверяемых территориальных органов (подведомственных организаций) обязаны принять необходимые меры по их устранению в сроки, согласованные с комиссией (специалистами), проводившей проверку.
31. Территориальные органы и подведомственные организации проверяются МТОИЗИ не менее одного раза в 5 лет, подразделения центрального аппарата - по мере необходимости.
В случае несоответствия в территориальных органах принимаемых мер по защите информации установленным требованиям или нормам и наличии нарушений первой и второй категорий руководитель МТОИЗИ немедленно докладывает руководителю Службы и вносит соответствующие предложения.
32. При проверках территориальных органов и подведомственных организаций Федеральной службой безопасности Российской Федерации или Федеральной службой по техническому и экспортному контролю Российской Федерации один экземпляр акта проверки представляется их руководителями в МТОИЗИ.
33. Обобщенные данные о результатах проведенных проверок и состоянии защиты информации по итогам года территориальные органы и подведомственные организации представляют в МТОИЗИ к 15 января года, следующего за отчетным. Отчет представляется по формам, разрабатываемым МТОИЗИ.
34. Доклад о состоянии защиты информации в центральном аппарате Службы, ее территориальных органах и подведомственных организациях, эффективности принятых мер по ее совершенствованию по итогам года руководитель МТОИЗИ представляет руководителю Службы к 1 февраля года, следующего за отчетным.
В докладе отражается:
- общее состояние защиты информации в Службе, территориальные органы и подведомственные организации, в которых эти вопросы решаются неудовлетворительно;
- общее количество проведенных проверок МТОИЗИ, Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации;
- основные недостатки, выявленные в ходе проверок;
- наличие нарушений первой и второй категорий;
- укомплектованность территориальных органов и подведомственных организаций специалистами по защите информации;
- предложения по совершенствованию системы защиты информации в Службе.
_____________________________
* Постановление Совета Министров - Правительства Российской Федерации 1993 г. N 912-51
Приложение N 1
(справочное)
Термины и их определения
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Аттестация - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Акта соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Безопасность информации - состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системой от внутренних или внешних угроз.
Документированная информация - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Закладное устройство - элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).
Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Защищаемые помещения - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Информатизация - организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов.
Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.
Информационная инфраструктура - совокупность систем обработки и анализа информации, каналов информационного обмена и телекоммуникаций, линий связи, систем и средств защиты информации.
Информация ограниченного доступа - информация, для которой установлен специальный режим сбора, хранения, обработки, распространения и использования.
Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Локальная вычислительная сеть (ЛВС) - совокупность основных технических средств и систем, осуществляющих обмен информацией между собой и с другими информационными системами, в том числе с ЛВС, через определенные точки входа/выхода информации, которые являются границей ЛВС.
Несанкционированный доступ - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Объект защиты информации - информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
Пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.
Технический канал утечки информации - совокупность объекта технической разведки, физической среды распространения информационного сигнала и средств, которыми добывается защищаемая информация.
Приложение N 2
(справочное)
Угрозы информации.
Способы их воздействия на объекты защиты информации
1. Основными факторами, способствующими повышению уязвимости информации, являются:
а) резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью СВТ и других средств автоматизации;
б) сосредоточение в единых базах данных информации различного назначения;
в) резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам информационной системы и находящимся в ней данных;
г) усложнение режимов функционирования технических средств вычислительных систем: широкое внедрение многопрограммного режима;
д) автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях.
2. Источники угроз безопасности информации подразделяются на внешние и внутренние.
К внешним источникам относятся:
- недружественная политика иностранных государств в области информационного мониторинга, распространения информации и новых информационных технологий;
- деятельность иностранных разведывательных и специальных служб в сферах, относящихся к ведению Службы, направленная против ее интересов и интересов Российской Федерации в целом;
- деятельность иностранных экономических структур, направленная против интересов Службы в частности и Российской Федерации в целом;
- преступные действия международных групп, формирований и отдельных лиц;
- стихийные бедствия и катастрофы.
Внутренними источниками являются:
- противозаконная деятельность политических, экономических и криминальных структур и отдельных лиц в области формирования, распространения и использования информации, направленная в т.ч. и на нанесение экономического ущерба государству;
- неправомерные действия различных структур и ведомств, приводящие к нарушению законных прав работников и Службы в информационной сфере;
- нарушения установленных регламентов сбора, обработки и передачи информации;
- преднамеренные действия и непреднамеренные ошибки персонала автоматизированных систем, приводящие к утечке, уничтожению, искажению, подделке, блокированию, задержке, несанкционированному копированию информации;
- отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;
- каналы побочных электромагнитных излучений и наводок технических средств обработки информации.
3. Способы воздействия угроз на объекты защиты информации подразделяются на информационные, аппаратно-программные, физические, радиоэлектронные и организационно-правовые.
К информационным способам относятся:
- нарушение адресности и своевременности информационного обмена;
- несанкционированный доступ к информационным ресурсам;
- незаконное копирование данных в информационных системах;
- хищение информации из банков и баз данных;
- нарушение технологии обработки информации.
Аппаратно-программные способы включают:
- внедрение компьютерных вирусов;
- установку программных и аппаратных закладных устройств;
- уничтожение или модификацию данных в информационных системах.
Физические способы включают:
- уничтожение или разрушение средств обработки информации и связи;
- уничтожение, разрушение или хищение машинных или других оригиналов носителей информации;
- хищение аппаратных или программных ключей и средств криптографической защиты информации;
- воздействие на персонал;
- поставка "зараженных" компонентов информационных систем.
Радиоэлектронными способами являются:
- перехват информации в технических каналах ее утечки;
- внедрение электронных устройств перехвата информации в технические средства передачи информации и помещения;
- перехват, дешифрование и внедрение ложной информации в сетях передачи данных и линиях связи;
- воздействие на парольно-ключевые системы;
- радиоэлектронное подавление линий связи и систем управления.
Организационно-правовые способы включают:
- закупки несовершенных или устаревших информационных технологий и компьютерных средств;
- невыполнение требований законодательства Российской Федерации в информационной сфере;
- неправомерное ограничение доступа к документам, содержащим важную для граждан и органов информацию.
Приложение N 3
(справочное)
Классификация
информации ограниченного доступа
/----------------\
| Информация |
| |
\----------------/
/-------------------------+-------------------------\
| | |
/------------\ /---------------\ /-----------------\
| | | | | |
| по | | по степени | | по содержанию |
| владельцу | | секретности | | |
| | | | | |
\------------/ \---------------/ \-----------------/
| /---------------\ |
| /-----------\ /-----------\ /-------------\ /----------------\
| | Органы | |Государст- | |Конфиденциа- | |/--------------\|
|--| гос. | |венная тай-| |льная инфор-| ||- в военной ||
| | власти | |на: | |мация: | ||области; ||
| \-----------/ |сведения | |- персональ-| ||- в области ||
| | -особой | |ные данные; | ||экономики, на-||
| /-----------\ | важности;| |- служебная| ||уки и техники;||
| | Органы | | | |тайна; | ||- в области ||
|--| местного | | -совершен-| |- тайна поч-| ||внешнеполит-ой||
| | самоупр-я | | но секре-| |товых отправ-| ||деятельности; ||
| \-----------/ | тные | |лений; | ||- в области ||
| | | |- тайна теле-| ||разведки. ||
| /-----------\ | -секретные| |фонных пере-| |\--------------/|
| | | | | |говоров; | |/--------------\|
|--|Организации| | | |- тайна след-| ||- деловая ||
| | | \-----------/ |ствия и судо-| ||(коммерчес- ||
| \-----------/ |производства;| ||кая); ||
| |- врачебная | ||- сведения о ||
| /-----------\ |тайна; | ||гражданах; ||
| | Обществ. | |- нотариаль-| ||- банковская ||
|--|объединения| |ная тайна; | ||тайна. ||
| | | |- адвокатская| |\--------------/|
| \-----------/ |тайна; | \----------------/
| |- сведения о|
| /-----------\ |сущности изо-|
| | | |бретения, |
\--| Граждане | |промышленного|
| | |образца до|
\-----------/ |офиц-й пуб-|
|ликации инфо-|
|рмации о них.|
\-------------/
Приложение N 4
(обязательное)
Общие требования
к порядку работы пользователей и осуществлению контроля со стороны руководителей структурных подразделений за их действиями в компьютерных и телекоммуникационных сетях федеральной службы по экологическому, технологическому и атомному надзору
1. Пользователь обязан:
- знать правила работы в ЛВС и принятые меры по защите ресурсов ЛВС (в части, его касающейся);
- при работе на своей рабочей станции (ПЭВМ) и в ЛВС выполнять только служебные задания;
- работать в сети только в разрешенный период времени;
- убедиться в исправности своей рабочей станции, отсутствии "вирусов";
- при сообщениях тестовых программ о появлении "вирусов" немедленно прекратить работу, доложить администратору сети (безопасности) и руководителю своего подразделения;
- в случае необходимости использования гибких магнитных носителей (дискет), поступивших из других подразделений, учреждений, предприятий и организаций, прежде всего, провести проверку этих носителей на отсутствие "вирусов";
- при решении задач с защищаемой информацией использовать только учтенные в установленном порядке магнитные носители (дискеты и т.п.);
- выполнять предписания администратора сети (безопасности);
- представлять для контроля свою рабочую станцию руководителю подразделения, администратору сети (безопасности) и специалисту по защите информации;
- выполнять требования организационно-распорядительных документов по применению рабочих станций сети и ЛВС;
- сохранять в тайне свой индивидуальный пароль, не сообщать его другим лицам, даже если это должностное лицо;
- вводить пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;
- периодически в установленном порядке изменять пароль;
- при обнаружении различных неисправностей в работе компьютерной техники или ЛВС, недокументированных свойств в программном обеспечении, нарушений целостности пломб (наклеек), нарушении или несоответствии номеров печатей на аппаратных средствах немедленно сообщить в подразделение, осуществляющее эксплуатацию средств информатизации (администратору сети), и поставить в известность руководителя подразделения.
2. Пользователю при работе запрещается:
- играть в компьютерные игры;
- приносить различные компьютерные программы и пытаться установить их на локальный диск компьютера без уведомления специалистов подразделения, осуществляющего эксплуатацию средств информатизации (администратора сети);
- перенастраивать программное обеспечение компьютера;
- самостоятельно вскрывать комплектующие рабочей станции;
- запускать на своей рабочей станции или другой рабочей станции сети любые системные или прикладные программы, кроме установленных специалистами отдела информатизации (администратором сети);
- передавать свой пароль другим лицам, фиксировать свои учетные данные (пароли, идентификаторы и др.) на твердых носителях;
- изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;
- оставлять включенной без присмотра свою рабочую станцию, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
- оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации (при наличии), машинные носители и распечатки, содержащие конфиденциальную информацию;
- допускать к подключенной в сеть рабочей станции посторонних лиц;
- использовать неучтенные магнитные носители информации при работе с конфиденциальной информацией;
- производить копирование защищаемой информации на неучтенные носители информации (в том числе и для временного хранения информации);
- работать на рабочей станции сети с защищаемой информацией при обнаружении неисправностей;
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации, которые могут привести к утечке, блокированию, искажению или утере информации;
- отсылать по электронной почте информацию личного или коммерческого характера для решения личных проблем, а также информацию по просьбе третьих лиц без согласования с руководством подразделения;
- запрашивать и получать из сети "Интернет" материалы развлекательного характера (игры, клипы и т.д.), кроме случаев их специального использования в служебных целях (только по согласованию с руководством подразделения);
- запрашивать и получать из сети "Интернет" программные продукты, кроме случаев, связанных с производственной необходимостью. При этом необходимо согласование руководителя структурного подразделения и обеспечение процесса техническим специалистом отдела информатизации.
3. Возможность пользователей входить в другие компьютерные системы через сеть не дает им права на подключение к этим системам и на их использование, если на то не получено специальное разрешение со стороны операторов этих систем.
4. Пользователь несет персональную ответственность за соблюдение установленных требований во время работы в ЛВС и по защите информации.
5. Руководители структурных подразделений обязаны:
- готовить к утверждению списки работников (пользователей ЛВС), которых по своим должностным обязанностям необходимо допустить к работе с защищаемой информацией;
- контролировать целевое использование работниками ресурсов сети "Интернет";
- проводить разбирательство по информации администратора сети (безопасности, работника по защите информации) по фактам несоблюдения пользователями инструкции при работе с электронной почтой и других нарушений, установленных для работы в ЛВС, а также нарушений требований защиты информации;
- выборочно, лично или через своих заместителей, контролировать исходящую информацию, направляемую пользователями по электронной почте другим адресатам;
- контролировать выполнение пользователями изложенных выше правил работы;
- при обнаружении нарушений установленных требований по защите информации, в результате которых вскрыты факты разглашения конфиденциальной информации, либо имелась или имеется реальная возможность ее утечки по техническим каналам, прекратить работы на рабочем месте, где обнаружены нарушения, доложить вышестоящему руководителю и поставить в известность руководителя МТОИЗИ.
Приложение N 5
(рекомендуемое)
Типовое положение
о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)
Одобрено решением Гостехкомиссии России
от 14 марта 1995 г. N 32
1. Общие положения
1.1. Настоящее Положение определяет основные цели, функции, права
подразделения по защите информации от иностранных технических разведок и
от ее утечки по техническим каналам (далее именуется - подразделение по
защите информации) в_____________________________________________________
_________________________________________________________________________.
(наименование предприятия (учреждения, организации)
1.2. Подразделение по защите информации создается на основании
Положения о государственной системе защиты информации в Российской
Федерации от иностранных технических разведок и от ее утечки по
техническим каналам, утвержденного постановлением Совета
Министров-Правительства Российской Федерации от 15 сентября 1993 года
N 912-51.
1.3. Подразделение по защите информации является самостоятельным
структурным подразделением. Штатная численность подразделения по защите
информации и его структура определяются руководителем предприятия
(учреждения, организации).
Примечание:
в зависимости от объема работ по защите информации руководителем
предприятия (учреждения, организации) может быть создано структурное
подразделение по защите информации, либо назначаются штатные специалисты
по этим вопросам;
подразделение по защите информации может входить по усмотрению
руководителя предприятия (учреждения, организации) в состав одного из
технических, научно-технических подразделений или в состав службы
безопасности предприятия (учреждения, организации).
1.4. Непосредственное руководство работой подразделения по защите
информации осуществляет__________________________________________________
(должность заместителя руководителя предприятия
________________________________________________________________________.
(учреждения, организации), ответственного за защиту информации
Назначение и освобождение от должности руководителя подразделения по
защите информации производится руководителем предприятия (учреждения,
организации) по согласованию с вышестоящей организацией, курирующей
вопросы защиты информации.
1.5. Подразделение по защите информации комплектуется
инженерно-техническими кадрами, имеющими опыт работы по основной
деятельности предприятия (учреждения, организации) или в области защиты
информации и отвечающими требованиям квалификационных характеристик на
специалистов по комплексной защите информации.
Работники подразделения (штатные специалисты) приравниваются по
оплате труда, льготам и премированию к соответствующим категориям
работников основных структурных подразделений.
Работникам подразделения по защите информации выплачиваются
процентные надбавки к должностному окладу должностных лиц и граждан,
допущенных к государственной тайне, установленные Постановлением
Правительства Российской Федерации от 14 октября 1994 г. N 1161.
1.6. Подразделение по защите информации свою работу проводит в
тесном взаимодействии с научными, производственными и режимно-секретными
подразделениями предприятия (учреждения, организации), представителями
территориальных органов ФСК, ФАПСИ, Гостехкомиссии России и военными
представительствами на предприятии (в учреждении, организации).
1.7. Работа подразделения по защите информации проводится в
соответствии с планами работ.
На подразделение по защите информации запрещается возлагать задачи,
не связанные с его деятельностью.
1.8. Подразделение по защите информации при выполнении работ,
связанных с защитой информации применительно к конкретным НИОКР,
производственным заказам или программам испытаний, может являться
соисполнителем этих работ на договорной основе.
1.9. Для выполнения возложенных задач подразделение по защите
информации обеспечивается необходимыми производственными помещениями,
вычислительной техникой, контрольно-измерительной аппаратурой и
расходными материалами.
1.10. Подразделение по защите информации в своей деятельности
руководствуется требованиями Положения о государственной системе защиты
информации в Российской Федерации от иностранных технических разведок и
от ее утечки по техническим каналам, нормативно-технических документов по
противодействию иностранным техническим разведкам, приказами, указаниями
вышестоящих органов по защите информации и другими руководящими
документами в области защиты информации.
2. Основные функции подразделения по защите информации
2.1. Планирование работ по защите информации на предприятии (в
учреждении, организации), предусматривающее задачи научным и
производственным подразделениям по решению конкретных вопросов по защите
информации, организацию их выполнения, а также контроль за их
эффективностью.
2.2. Участие в подготовке предприятия (учреждения, организации) к
аттестованию на право проведения работ с использованием сведений,
отнесенных к государственной тайне.
2.3. Организация разработки нормативно-методических документов по
защите информации на предприятии (в учреждении, организации).
2.4. Согласование мероприятий по защите информации для рабочих мест,
на которых проводятся работы с использованием сведений, отнесенных к
государственной тайне.
2.5. Определение:
демаскирующих признаков предприятия (учреждения, организации) и
выпускаемой продукции;
видов и средств иностранной технической разведки, которые позволяют
получить сведения о деятельности предприятия (учреждения, организации);
технических каналов утечки информации;
возможности несанкционированного доступа к информации, ее разрушения
(уничтожения) или искажения и разработка соответствующих мер по защите
информации.
2.6. Разработка (самостоятельно или совместно с режимными органами и
другими подразделениями) проектов распорядительных документов по вопросам
организации защиты информации на предприятии.
2.7. Организация в соответствии с нормативно-техническими
документами специальных проверок и проведение аттестования рабочих мест,
стендов, вычислительных комплексов (средств) и т.д. и выдача предписания
на право проведения на них работ с секретной информацией (при наличии
лицензии).
2.8. Разработка предложений по совершенствованию системы защиты
информации на предприятии (в учреждении, организации).
2.9. Разработка совместно с другими основными подразделениями
Руководства по защите информации на предприятии (в учреждении,
организации).
2.10. Разработка совместно с представителем заказчика комплекса
мероприятий по защите государственной тайны при установлении и
осуществлении научно-технических и торгово-экономических связей с
зарубежными фирмами, а также при посещении предприятия (учреждения,
организации) иностранными представителями.
2.11. Участие в разработке легенды прикрытия оборонных работ,
технических методов и способов ее подтверждения и контроль реализации
мероприятий по их внедрению.
2.12. Участие в разработке требований по защите информации при
проведении исследований, при разработке (модернизации), испытаниях,
производстве и эксплуатации отдельных образцов выпускаемой продукции (в
том числе вооружения и военной техники), а также при проектировании,
строительстве (реконструкции) и эксплуатации объектов предприятия
(учреждения, организации).
2.13. Участие в согласовании ТЗ (ТТЗ) на проведение работ,
содержащих сведения, отнесенные к государственной или служебной тайне.
2.14. Участие в создании (совершенствовании) системы защиты
информации на полигонах (испытательных базах) предприятия (учреждения,
организации).
2.15. Проведение периодического контроля эффективности мер защиты
информации на предприятии (в учреждении, организации). Учет и анализ
результатов контроля.
2.16. Участие в расследовании нарушений в области защиты информации
на предприятии (в учреждении, организации) и разработка предложений по
устранению недостатков и предупреждению подобного рода нарушений.
2.17. Подготовка отчетов о состоянии работ по защите информации на
предприятии (в учреждении, организации).
2.18. Организация проведения занятий с руководящим составом и
специалистами предприятия (учреждения, организации) по вопросам защиты
информации.
3. Права подразделения по защите информации
Подразделение по защите информации имеет право:
3.1. Запрашивать и получать необходимые материалы для организации и
проведения работ по вопросам защите информации.
3.2. Готовить предложения о привлечении к проведению работ по защите
информации на договорной основе предприятия (учреждения, организации),
имеющего лицензию на соответствующий вид деятельности.
3.3. Контролировать деятельность любого структурного подразделения
_________________________________________________________________________
(наименование предприятия (учреждения, организации)
по выполнению требований по защите информации.
3.4. Участвовать в работе технических комиссий предприятий при
рассмотрении вопросов по защите информации.
3.5. Вносить предложения руководителю предприятия (учреждения,
организации) о приостановке работ в случае обнаружения утечки (или
предпосылок к утечке) информации, содержащей сведения, отнесенные к
государственной или служебной тайне.
3.6. Получать установленным порядком лицензии на выполнение работ по
защите информации и при ее получении оказывать услуги в этой области
другим предприятиям (учреждениям, организациям).
4. Финансирование подразделения по защите информации
4.1. Финансирование подразделения по защите информации
предусматриваются в смете расходов_______________________________________
_________________________________________________________________________
(наименование предприятия (учреждения, организации)
________________________________________________и осуществляется за счет:
средств основной деятельности___________________________________________;
_________________________________________________________________________
(наименование предприятия (учреждения, организации)
средств, выделяемых на выполнение НИОКР или заказов на производство
вооружения, военной техники и других работ по оборонной тематике;
выполнения подразделением договорных работ с другими предприятиями
(учреждениями, организациями).
Приложение N 6
(справочное)
Преступления в сфере защиты информации
Уголовный кодекс Российской Федерации от 13 июня 1996 г. N 63-ФЗ
(выписка с комментариями)
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
1. Собирание сведений, составляющих коммерческую, налоговую, банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным способом, -
наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет.
2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую, банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, -
наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до трех лет.
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, -
наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет либо лишением свободы на срок до пяти лет.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, -
наказываются лишением свободы на срок до десяти лет.
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -
наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -
наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Объективную сторону данного преступления составляет неправомерный доступ к охраняемой законом компьютерной информации, который всегда носит характер совершения определенных действий и может выражаться в проникновении в компьютерную систему путем:
- использования специальных технических или программных средств позволяющих преодолеть установленные системы защиты,
- незаконного использования действующих паролей или кодов для проникновения в компьютер, либо совершение иных действий в целях проникновения в систему или сеть под видом законного пользователя,
- хищения носителей информации, при условии, что были приняты меры их охраны, если это деяние повлекло уничтожение или блокирование информации.
Неправомерным признается доступ к компьютерной информации лица, не обладающего правами на получение и работу с данной информацией, либо компьютерной системой. Причем в отношении этой информации или компьютерной системы должны приниматься специальные меры защиты, ограничивающие круг лиц, имеющих к ним доступ.
Состав данного преступления носит материальный характер и предполагает обязательное наступление одного из следующих последствий:
- уничтожения информации, то есть удаление информации на материальном носителе и невозможность ее восстановления на нем;
- блокирования информации, то есть совершение действий приводящих к ограничению или закрытию доступа к компьютерной системе и предоставляемым ею информационным ресурсам;
- модификации информации, то есть внесение изменений в программы, базы данных, текстовую информацию, находящуюся на материальном носителе;
- копирования информации, то есть переноса информации на другой материальный носитель, при сохранении неизмененной первоначальной информации;
- нарушения работы ЭВМ, системы ЭВМ или их сети, что может выразиться в нарушении работы как отдельных программ, баз данных, выдаче искаженной информации, так и нештатном функционировании аппаратных средств и периферийных устройств, либо нарушении нормального функционирования сети.
Субъективная сторона данного преступления характеризуется только прямым умыслом. Субъектами данного преступления в основном могут являться лица, имеющие опыт работы с компьютерной техникой, и поэтому в силу профессиональных знаний они обязаны предвидеть возможные последствия уничтожения, блокирования, модификации информации либо нарушения работы ЭВМ, системы ЭВМ и их сети. По общему правилу субъектами преступления, предусмотренного ст. 272, может быть лицо, достигшее 16-летнего возраста, однако часть вторая предусматривает наличие специального субъекта совершившего данное преступление с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети. Под доступом в данном случае понимается фактическая возможность использовать ЭВМ, при отсутствии права на работу с защищенной информацией. Например, инженер по ремонту компьютерной техники имеет доступ к ЭВМ в силу своих служебных обязанностей, но вносить какие-либо изменения в информацию находящуюся в памяти ЭВМ не имеет права.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, -
наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия,
- наказываются лишением свободы на срок от трех до семи лет.
Под вредоносными программами в смысле ст. 273 УК РФ понимаются программы специально созданные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены, определенные в документации на программу. Наиболее распространенными видами вредоносных программ являются "компьютерные вирусы" и "логические бомбы".
Объективную сторону данного преступления составляет факт создания программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети (см. комментарий к ст. 272 п. 1), а равно использование либо распространение таких программ или машинных носителей с такими программами.
Под использованием программы понимается выпуск в свет, воспроизведение, распространение и иные действия по их введению в оборот. Использование может осуществляться путем записи программы в память ЭВМ, на материальный носитель, распространение по сетям либо путем иной передачи другим лицам.
Уголовная ответственность возникает уже в результате создания программы, независимо от того использовалась эта программа или нет. Формой совершения данного преступления может быть только действие, выраженное в виде создания вредоносных программ для ЭВМ, внесения изменений в уже существующие программы, а равно использование либо распространение таких программ. Распространение машинных носителей с такими программами полностью покрывается понятием распространения.
3. С субъективной стороны преступление, предусмотренное частью 1 ст. 273, может быть совершено только с прямым умыслом, так как в статье определено, что создание вредоносных программ заведомо для создателя программы должно привести к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ.
Использование или распространение вредоносных программ тоже может осуществляться только умышленно, так как в соответствии с частью 2 ст. 274 УК РФ деяние, совершенное по неосторожности, признается преступлением только в том случае, когда это специально предусмотрено соответствующей статьей Особенной части настоящего Кодекса.
Часть 2 ст. 272 в отличие от части первой в качестве квалифицирующего признака предусматривает наступление тяжких последствий по неосторожности. Разработка вредоносных программ доступна только квалифицированным программистам, которые в силу своей профессиональной подготовки должны предвидеть возможные последствия использования этих программ.
Субъектом данного преступления может быть любой гражданин, достигший 16 лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред,
- наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия,
- наказывается лишением свободы на срок до четырех лет.
Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам устанавливающим порядок работы с ЭВМ в ведомстве или организации.
Эти правила должны устанавливаться управомоченным лицом, в противном случае каждый работающий с компьютером будет устанавливать свои правила эксплуатации.
Применительно к данной статье под сетью понимается только внутренняя сеть ведомства или организации, на которую может распространяться его юрисдикция. Объективная сторона данного преступления состоит в нарушении правил эксплуатации ЭВМ и повлекших уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ при условии, что в результате этих действий был причинен существенный вред.
Субъективную сторону части 1 данной статьи характеризует наличие умысла направленного на нарушение правил эксплуатации ЭВМ. В случае наступления тяжких последствий ответственность по ст. 274 наступает только в случае неосторожных действий.
Умышленное нарушение правил эксплуатации ЭВМ, систем ЭВМ и их сети влечет уголовную ответственность в соответствии с наступившими последствиями и нарушение правил эксплуатации в данном случае становится способом совершения преступления.
Субъект данного преступления - специальный, это лицо в силу должностных обязанностей имеющее доступ к ЭВМ, системе ЭВМ и их сети и обязанное соблюдать установленные для них правила эксплуатации.
Статья 283. Разглашение государственной тайны
1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены, -
наказывается арестом на срок от четырех до шести месяцев либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, -
наказывается арестом на срок от трех до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Статья 293. Халатность
Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе, если это повлекло существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства, -
наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок от шести месяцев до одного года, либо арестом на срок до трех месяцев.
Кодекс Российской Федерации "Об административных правонарушениях"
от 30 декабря 2001 г. N 195-ФЗ
(выписка)
Статья 13.12. Нарушение правил защиты информации
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой: на должностных лиц - от десяти до двадцати минимальных оплаты труда; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой.
4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, -
влечет наложение административного штрафа на должностных лиц в размере от тридцати до сорока минимальных размеров оплаты труда; на юридических лиц - от двухсот до трехсот минимальных размеров оплаты труда с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.
Статья 13.14. Разглашение информации с ограниченным доступом
Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, -
влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда: на должностных лиц - от сорока до пятидесяти минимальных размеров оплаты труда.
Приложение N 7
(обязательное)
Форма предписания
Герб
Федеральная служба
по экологическому, технологическому и атомному надзору
(Ростехнадзор)
______________________________________________________
(наименование территориального органа Ростехнадзора)
Предписание N________
____________________________ __________________
(населенный пункт) (дата)
Нами, (мною)________________________________________________________
(должности, фамилии и инициалы работников органов
_________________________________________________________________________
Ростехнадзора)
в соответствии с_________________________________________________________
(наименование, номер и дата документа, в соответствии с которым
_____________________________в период с___________по__________
проводится проверка) (дата) (дата)
в присутствии____________________________________________________________
(должности, фамилии и инициалы ответственных представителей
_________________________________________________________________________
проверяемой организации)
проведена______________________ проверка_________________________________
(комплексная, целевая) (указать организацию,
_________________________________________________________________________
ее подразделение, объект)
1. В ходе работы проверено выполнение требований действующих
федеральных норм и правил, а также организационно-распорядительных и
руководящих документов Федеральной службы по экологическому,
технологическому и атомному надзору в области защиты информации
_________________________________________________________________________
(указать наименования норм, правил и документов)
_________________________________________________________________________
_________________________________________________________________________
2. На основании Федерального закона от 20.02.1995 г. N 24-ФЗ "Об
информации, информатизации и защите информации" и Положения о Федеральной
службе по экологическому, технологическому и атомному надзору,
утвержденного постановлением Правительства Российской Федерации от
30.07.2004 г. N 401,
_________________________________________________________________________
_________________________________________________________________________
(должность, фамилия и инициалы должностного лица и полное
наименование организации)
Предписывается устранить выявленные нарушения в установленные сроки:
N п/п |
Выявленные нарушения требований по защите информации, причины и условия, приведшие к этим нарушениям |
Нарушенные законодатель- ные акты, организацион- но-распоряди- тельные и руководящие документы в области защиты информации |
Содержание предписаний по устранению нарушений |
Срок устране- ния наруше- ний |
Примеча- ние |
1 | 2 | 3 | 4 | 5 | 6 |
3. Выводы и принятые меры.
_________________________________________________________________________
(указать меры, которые были приняты комиссией в процессе проверки,
включая: выдачу предписаний о запрещении или приостановке обработки
информации и т.п.).
4. Об устранении в установленные сроки нарушений, изложенных в
разделе 2 настоящего предписания, предлагается не позднее
________________________________________________________
(дата)
представить информацию в_________________________________________________
(наименование территориального органа Ростехнадзора)
Предписание выдали:
___________________________ _________________ _____________________
(должности лиц, подписавших (подпись) (фамилия и инициалы)
предписание)
___________________________ _________________ _____________________
С предписанием ознакомлен и экземпляр его для исполнения получил:
___________________________ _________________ _____________________
(должность руководителя) (подпись) (фамилия и инициалы)
________________________
(дата)
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Положение устанавливает организационную структуру системы защиты информации в Ростехнадзоре, задачи и функции указанной системы, мероприятия по защите информации и контролю за ее состоянием.
Требования Положения обязательны для работников центрального аппарата и территориальных органов Ростехнадзора, а также для работников подведомственных Ростехнадзору организаций.
Основными целями защиты информации от существующих угроз являются: предотвращение неконтролируемого распространения информации; предотвращение ее несанкционированного уничтожения, искажения, копирования, блокирования; предотвращение утрат, уничтожения или сбоев функционирования носителей информации; соблюдение правового режима использования информационных ресурсов и системы; а также сохранение возможности управления процессом обработки и пользования информацией работниками Ростехнадзора.
Защите подлежат сведения, составляющие государственную тайну и конфиденциальную информацию, материальные носители информации и технические средства ее обработки.
Организация работы по защите информации возложена на Межрегиональный территориальный округ по информатизации и защите информации Ростехнадзора. С учетом объема работ по защите информации в территориальных органах Ростехнадзора и подведомственных организациях могут создаваться структурные подразделения по защите информации.
Утверждены Общие требования к порядку работы пользователей и осуществлению контроля со стороны руководителей структурных подразделений за их действиями в компьютерных и телекоммуникационных сетях Ростехнадзора. Данный акт определяет меры по защите информации, которые обязаны выполнять пользователи (потребители) информации при работе в локальной вычислительной сети и на своих рабочих станциях.
Разработано Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации).
Положение вводится в действие с 1 августа 2006 года.
Приказ Федеральной службы по экологическому, технологическому и атомному надзору от 26 июня 2006 г. N 624 "Об утверждении и введении в действие Положения о системе защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору"
Положение, утвержденное настоящим приказом, вводится в действие с 1 августа 2006 г.
Текст приказа официально опубликован не был