2012-v02-Программа Государственного Междисциплинарного Экзамена по специальности 090103
Самиздат:
[Регистрация]
[Найти]
[Рейтинги]
[Обсуждения]
[Новинки]
[Обзоры]
[Помощь|Техвопросы]
|
|
|
Аннотация: Ответы к вопросам
|
1. 1 Инфа как предмет защиты. Сущность и понятие ИБ.
Док-нная инфа - зафиксированная на мат-ом носителе путем док-ния инфа с реквизитами, позволяющими определить такую инфу или в установленных законодательством РФ случаях ее мат-ый носитель.
ИС - совокупность содержащейся в базах данных инфы и обеспечивающих ее обработку инф-ых технологий и ТС. Информа. технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения инфы и способы осущ-ия таких процессов и методов. Обладатель инфы - лицо, самостоятельно создавшее инфу либо получившее на основании закона или договора право разрешать или ограничивать доступ к инфе, определяемой по каким-либо признакам. Инфа подразделяется на общедоступную инф и инф огр. доступа (секретная и конф). Инфа в зависимости от порядка ее распространения подразделяется на: 1) инфу, свободно распространяемую; 2) инфу, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; 3) инфу, кот. в соотв. с фед. законами подлежит предоставлению или распространению; 4) инфу, распространение которой в РФ ограничивается или запрещается. ИБ - это состояние инф. среды, обеспечивающее удовлетворение инф-ных потребностей субъектов инф-х отношений, безопасность инф-ции и защиту субъектов от негативного инф-нного воздействия. Принципы ИБ: законность, открытость в реализации ф-ций органов власти,правовое равенство всех участников инф. взаимодействия, приоритетное развитие отеч. инф. и телекоммуникац. технологий, тех и прогр ср-в. Методы ИБ: правовые, орг-технич, экономич.
1. 2 Значение ИБ в системе национальной безопасности.
Доктрина ИБ РФ. инфа дб полной, достоверной и своевременной, причем на всех этапах жизни инфы. Поэтому инфа дб защищена от негативных инф-ых воздействий. НБ РФ существенным образом зависит от обеспечения ИБ, и в ходе технического прогресса эта зависимость будет возрастать. Доктрина представляет собой "совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ РФ". Доктрина предназначена служить основой для: •формирования гос. политики в области обеспечения ИБ РФ; •подготовки предложений по совершенствованию правового, методического, научно-технич. и орг-го обеспечения ИБ РФ; •разработки целевых программ обеспечения ИБ РФ. В части безопасности инфы интересы личности в инф-ой сфере заключаются в "ЗИ, обеспечивающей личную безопасность", интересы общества - "в обеспечении интересов личности в этой сфере", интересы государства - "в создании условий для гармоничного развития российской инф-ой инфраструктуры".
Составляющие нац интересов: 1) соблюдение конституционных прав и свобод человека и гражданина в области получения инфы и пользования ею; 2) инф обеспечение гос. политики РФ; 3) развитие современных ИТ, отеч индустрии инфы; 4) защита инф ресурсов от НСД, обеспечение безопасности инф. и телекоммуникац систем. Требования (пути) к обеспечению нац. интересов: •обеспечение конст. прав и свобод человека и гражданина на личную и семейную тайну, тайну переписки, телеф. переговоров, почтовых, телеграфных и иных сообщений; •обеспечение запрета на сбор, хранение, использование и распространение инфы о частной жизни лица без его согласия. •повысить безопасность инф-ых систем. •поддерживать развитие отечественного производства аппаратных и программных СрЗИ. •обеспечить защиту сведений, сост. ГТ; •расширять международное сотрудничество РФ в инф-ой сфере. Виды угроз ИБ: см. составляющие нац. интересов. мероприятия по реализации гос политики обеспечения ИБ: •создание безопасных ИТ для систем, используемых в процессе реализации жизненно важных функций общества и государства; •пресечение компьютерной преступности; •обеспечение технологической независимости страны в области создания и эксплуатации информационно-телек-ых систем оборонного назначения.
1. 3 Сущность и понятие ЗИ.
По содержательной части ЗИ рассматривается как: предупреждение НСД к И; ограничение распространение И; ограждение права владение и распоряжение И; предотвращение утечки, хищения, утраты, уничтожения, копирования, модификации, искажения, блокирования, разглашения И; сохранение полноты, надежности, целостности, достоверности, конф-ти И и тд. Статус - положение, состояние. Нарушение статуса любой И заключается: 1) в нарушении её физ сохранности вообще или у данного собственника; 2) в нарушении структурной целостности И; 3) в нарушении доступности для правомочных пользователей (дополнительно включает в себя нарушение ее конф-ти). Уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней инфы. Формы уязвимости: Хищение, Потеря, Несанкц. уничтожение, Искажение, Блокирование, Разглашение. Но результатом проявления этих форм могут быть либо утрата, либо утечка И(виды уязвимости), либо одновременно и то и другое. Утечка инфы - неправомерный выход КИ за пределы защищаемой зоны. Разглашение И -НС распространение, раскрытие. Соотношение: Формы проявления уязвимости И выражают результаты ДВ, а виды уязвимости выражают конечный суммарный итог реализации форм уязвимости.
1. 4 Цели и значение ЗИ. Теоретические основы ЗИ.
Цель ЗИ - желаемый результат ЗИ. Цели определяют ради чего защищается инфа, задачи определяют вопросы, кот. нужно решить для обеспечения ЗИ. ЗИ как и любой вид деят-ти должен иметь двухуровневые цели: непосред-ая и опосредованная. Непосред-ная цель - обеспечение БИ (тк БИ одно из сост. ИБ), опосредованной или общей целью ЗИ явл-ся обеспечение ИБ гос-ва, общ-ва и личности. (БИ => часть ИБ => часть НБ) Общую цель ЗИ следует разбить на множество целей применительно к субъектам (государство, общество, личность) и их интересам. Теорию ЗИ совокупность идей и общих принципов, необходимых для раскрытия сущности, значения ЗИ и выработки методологии защиты.
Основные положения: 1) Исходное положение теории ЗИ - презумпция открытости инфы, т.е. И дб общедоступной и для ограничения доступа нужны веские основания. 2)Объективная необходимость и общественная потребность в ЗИ. 3) ЗИ должна удовлетворять общественные потребности. 4)ЗИ должна соответствовать внешней и внутренней политике гос-ва. 5) ЗИ зависит и от воен-политич обстановки в мире. 6)ЗИ должна отражать политику гос-ва в области НБ и базироваться на ней и охватывать все сферы жизнедеят-ти. 7)ЗИ дб увязана с проблемами информатизации общ-ва. 8) Ограничение доступа к И не должно нарушать конституционные права и свободы граждан. 9) Ограничение доступа к И должно обеспечивать баланс интересов гос-ва, общ-ва и личности. 10) Необходимо правовое законодательное регулирование основных вопросов ЗИ и взаимный контроль гос-ва и общ-ва за соблюдением нормативных актов. 11) ЗИ должна иметь необходимую научно-методическую базу. 12)ЗИ дб вмонтирована в области деят-ти и содействовать повышению эфф-ти.
1. 5 Критерии, условия и принципы отнесения инфы к защищаемой.
Защищаемая инфа - это вся КИ и определяемая собственником часть открытой инфы, утечка или утрата кот. может нанести ущерб собственнику И или лицу, к кот. она имеет отношение. При этом утечка и утрата имеют отношение только к КИ, а к открытой И имеет отношение только утрата. Конф-ть И - обязательное для выполнения лицом, получившим доступ к определенной И, требование не передавать такую И третьим лицам без согласия ее обладателя.
Состав защищаемой И определяет собственник исходя из критериев и условий отнесения И к защищаемой. К критериям относится: 1) Для открытой И: Необходимость И для правового обеспечения, для производственной, финансовой, управленческой деят-ти, функ-ия соц-ой сферы. 2) Для КИ: Неизвестность И 3-им лицам и получение за счет этого преимуществ. Условия: Если И не содержит сведений, кот. по гос. нормативным актам запрещено относить к КИ; Если ЗИ возможна по техническим условиям; Если затраты на ЗИ не превышают величину ущерба, кот. может произойти при ее незащищенности. Принципы: законность (П); обоснованность (О); своевременность (О); соблюдение баланса интересов государства, общества и граждан (П); приоритет международного права над внутренним. Он касается той И, по которой наша страна явл-ся участником международных соглашений (П); подчиненность ведомственных интересов общегос. при их несовпадении. (О) Названные принципы явл-ся правовыми (П) или организационными (О).
1. 6 Классификация конф инфы по видам тайны.
Понятие "тайна" можно интерпретировать как инфу, доступ к которой ограничен. В перечне сведений конф характера, утв. Указом Президента РФ от 6 марта 1997 г. N 188, виды тайн: ПД; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна; КТ; свед-я о сущности изобретения, полезной модели или промышленного образца до официальной публикации инфы о них.
ГТ - защищаемые государством свед-я в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деят-ти, распространение кот. может нанести ущерб безопасности РФ. Основания ГТ: соот-ие инфы переченю сведений, сост. ГТ, содержащийся в ст. 5 закона "о ГТ". СТ - служебные свед-я, доступ к кот. ограничен органами гос. власти в соотв. с ГК РФ и фед-ыми законами. Согласно положению1994 г., утв. Правительством РФ, " о порядке обращения со служ. инфой огр. распространения в федеральных органах исполнительной власти" к служ. инфы огр. распространения относится несекретная инфа, касающаяся деят-ти орг-ии, ограничения на распространение которой диктуется служ. необходимостью (сведения об усыновлении, вкладах граждан в различного рода банки, хар-ре заболеваний пациентов и т. д.). КТ -- режим конф-ти инфы, позволяющий ее обладателю при сущ-их или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерч. выгоду. Состав инфы, относимой к КТ, устанавливается ее собственником. Решающую роль при этом играют: потенциальный ущерб; потенциально упущенная выгода; соразмерность затрат на защиту инфы. ПТ -- свед-я, связанные с проф-ой деят-тью, доступ к кот. ограничен в соотв. с Конституцией РФ и фед. законами. ПД - любая инфа, относящаяся к опред. или определяемому на основании такой инфы физ. лицу.
1. 7 Классификация носителей защищаемой инфы.
Носитель инфы - физ. лицо или мат-ый объект, в тч физ. поле, в кот. инфа находит свое отображение в виде символов, образов, сигналов, технических решений и процессов. Источник инфы - физ. объект, система или явление формирующие инфу.
Виды носителей инфы: Физ. лица - инф фиксируется запоминания, отображается в форме образов, а воспроизводится во всех видах с переносом на др. носители; Носители на бумажной основе - типами бумажных носителей явл-ся ватман, калька, картон и т. д. Инф в них фиксируется рукописным, машинописным, электронным, типографским и др способом в форме текста, чертежа, схемы, формулы, графика, рисунка. В этих носителях инф отображается в виде символов и образов; На магнитной основе - Инфа фиксируется с помощью магнитного накопления, отображается в виде символов. (аудиокассеты, видеокассеты, жесткие и гибкие магнитные диски); Магнитооптические и оптические диски - в магнитооптическом запись выполняется лазерным лучом и магнитным полем, в оптическом - только лазерном лучом. Инф отображается в виде символов, а ее считывание осущ-ся лазерным лучом; Микросхемы - внутренняя память ЭВМ (ОЗУ). Фиксируется в виде двоичного кода, инфа отображается в виде символов; На фото эмульсионной основе - Инф фиксируется путем изменения хим. состава, нанесенного вещества. Создавая изображения объектов в виде символов, образов, технических решений и процессов. (фотопленка, фотокарточка, фотобумага, кинопленка, слайд); Носители на др. вещественных основах - винилы, пластмасса. Инф на них может фиксироваться разл способами, а отображаться в виде символов и образов; Выпускаемая продукция - своеобразие этого носителя в том, что инф в нем не зафиксирована, а как бы облачена, трансформирована в разл типы мат-ой продукции. Инф отображается в виде технических решений; Технологические процессы изготовления продукции - включают технологию производства продукции, применяемые при ее изготовлении компоненты (оборудование, приборы, материалы, вещества, сырье). Инф отображение в виде технических процессов и технических решений; Физ. поля - Инф фиксируется путем изменения их интенсивности. При приеме-передаче инф она отображается в виде сигналов.
К опосредованным видам носителей: мат-ые объекты, содержащие "следы" защищаемой инфы (отходы производства; вода, почву, растения, содержащие осадки производства; животных, птиц и рыб с измененным химическим составом крови или мутациями; воздух с измененным радиационным фоном, химическим). геометрические формы, размеры и архитектурные особенности строений.
1. 8 Понятие и структура угроз инфы.
Угроза защищаемой инфы - совокупность явлений, факторов и условий, создающих опасность нарушения статуса инфы. Любая угроза состоит из определенных взаимосвязанных компонентов, каждый из кот. сам по себе не создает угрозу, но явл-ся неотъемлемой её частью. Угроза возникает лишь при совокупном их взаимодействии. Угроза связана с уязвимостью инфы. Реализация угроз приводит к одной или нескольким формам проявления уязвимости. Формам уязвимости присущи опред. угрозы с набором соответствующих компонентов. Структура угроз предопределяет форму проявления уязвимости. К явлениям относятся: Источники ДВ на инфу; Виды ДВ; Способы ДВ.
К факторам, помимо причин и обстоятельств, относятся: наличие каналов и методов НСД к инфы; наличие огр. доступа со стороны не имеющих к этой инфы разрешенного доступа. Источники: Люди - а) непосред-ное воздействие на носитель защищаемой инфы; б) несанкц-ое распространение инфы; в) вывод из строя ТС; г) нарушение режима работы перечисленных ср-тв и технологии обработки инфы; д) вывод из строя и нарушение режима работы систем обеспечения функ-ия названных ср-тв. ); Преднамеренные ДВ Причины: получить мат-ую выгоду; нанести вред руководству или коллеге; стремление продвинуться по службе; физ. воздействие со стороны злоумышленника и т. д.) Обстоятельства: тяжелое мат-ое положение, финансовые затруднения; жадность; карьеризм. Непреднамеренные ДВ. Причины: неквалифицированное выполнение операций; халатность; небрежность; физ. недомогание. Обстоятельства: низкий уровень подготовки; отсутствие стимулов; перегруженность; плохое отношение со стороны администрации. Условия: Недостаточность мер по ЗИ; недостаточный контроль; принятие решении без учета требовании по ЗИ. Технические ср-ва отображения, хранения, обработки, воспроизведения, передачи инфы, ср-ва связи - а) выход из строя; б) сбои в работе; в) создание эл/м излучений. Причинам, ДВ со стороны ТС: недостаток или низкое качество ср-тв; низкое качество режима функ-ия; перезагруженность ср-тв; низкое качество технологии работ; ДВ на ср-ва со стороны др. источников воздействия. Обстоятельства: недофинансирование; плохой выбор ср-тв; износ; ошибки при монтаже и эксплуатации. Условия: недостаточное внимание к составу и качеству ср-тв со стороны администрации; нерегулярный профилактический осмотр ср-тв; низкое качество обслуживания ср-тв.
Системы обеспечения функ-ия ТС - а) выход из строя; б) сбои в работе. Причины, обстоятельства, условия: смотри ТС. Технологические процессы - изменение структуры окружающей среды. Причины: явл-ся специфика технологи. Обстоятельством - необходимость такой технологии. Условием - отсутствие возможности противодействия изменению структуры окружающей среды. Природные явления - стихийные бедствия. В основе ДВ со стороны природных явлений лежат внутренние причины и обстоятельства, неподконтрольные людям, и неподдающиеся нейтрализации или устранению.
1. 9. Источники, виды и способы ДВ на инфу.
Составляющие угрозы защищаемой инфы: 1) Источники ДВ; 2) Виды ДВ (каким образом происходит ДВ); 3) Способы ДВ; 4) причины, лежащие в основе ДВ; 5) обстоятельства, вызывающие эти причины; 6) условия, необх-ые для реализации ДВ.
Источники ДВ на инфу. Люди; Тех. ср-ва отображения, хранения, обработки, воспроизведения, передачи инфы, ср-ва связи; Системы обеспечения функ-ия ТС. Это системы электро-, водо-, теплоснабжения, кондиционирования. Технологические процессы. (процессы объектов ядерной энергетики, хим. пром-ти, радиоэлектроники, а также объектов по изготовлению некот. видов вооружения и военной техники, кот. изменяют естественную структуру окр. объект среды); Природные явления. Стихийные бедствия и атмосферные явления. В зависимости от источника и вида воздействия оно может быть непосред-но либо опосредованным. В. Виды воздействия. Источники: Люди - а) непосред-ное воздействие на носитель защищаемой инфы; б) несанкц-ое распространение инфы; в) вывод из строя ТС; г) нарушение режима работы перечисленных ср-тв и технологии обработки инфы; д) вывод из строя и нарушение режима работы систем обеспечения функ-ия названных ср-тв. ). Технические ср-ва - а) выход из строя; б) сбои в работе; в) создание эл/м излучений. Системы обеспечения функ-ия ТС - а) выход из строя; б) сбои в работе. Технологические процессы - изменение структуры окружающей среды. Природные явления - стихийные бедствия. I. Способы ДВ на инфу со стороны людей. а) Физ. воздействие; б) вывод из строя и нарушение режима работы ТС; в) Размагничивание носителя; г) создание помех в радиоэфире, разрыв линий связи; д) нарушение технологии обработки И; е) вывод из строя и нарушение режима работы систем обеспечения функ-ия; ж) заражение ПО; з) передача копий носителей КИ; и) опубликование КИ. Приводят к уничтожению, искажению, блокированию. II. Способы ДВ на И-ию со стороны ТС. 1. Тех. поломка, аварии; 2. возгорания, затопления; 3. разрушения или повреждения носителя инфы; 4. возникновение тех. неисправностей ТС; 5. нарушение режима функ-ия ср-тв. III. Способы ДВ на И-ию со стороны Системы обеспечения функ-ия ТС. 1. поломки, аварии; 2. возгорания, затопления; 3. выход из строя источников питании. IV. Способы ДВ со стороны технологических процессов. Изменения естественного рад. фона, хим. состава и локальной структуры маг. поля окр. среды; Способы ДВ со стороны стихийных бедствий. Проявления стихийных бедствий.
1. 10. Причины, обстоятельства и условия ДВ на инфу.
В основе любого ДВ на инфу лежат опред. причины, побудительные мотивы, кот. обуславливают появление того или иного вида и способа воздействия. Вместе с тем, и причины имеют под собой основания, обстоятельства (предпосылки), кот. вызывают их, способствуют их появлению. Однако, наличие источников, видов, способов, причин и обстоятельств ДВ представляют потенциально существующую опасность, кот. может развиться при наличии определенных условий для этого. Тк виды и способы ДВ зависят от источников воздействия, то и причины, обстоятельства и условия дб привязаны к источникам воздействия. Источник: ЛЮДИ: Преднамеренные ДВ - Причины: получить мат-ую выгоду; нанести вред руководству или коллеге; стремление продвинуться по службе; физ. воздействие со стороны злоумышленника и т. д. ) Обстоятельства: тяжелое мат-ое положение, финансовые затруднения; жадность; карьеризм. Непреднамеренные ДВ - Причины: неквалифицированное выполнение операций; халатность; небрежность; физ. недомогание. Обстоятельства: низкий уровень подготовки; отсутствие стимулов; перегруженность; плохое отношение со стороны администрации. Условия: Недостаточность мер по ЗИ; недостаточный контроль; принятие решении без учета требовании по ЗИ. ТС: Причинам, ДВ со стороны ТС: недостаток или низкое качество ср-тв; низкое качество режима функ-ия; перезагруженность ср-тв; низкое качество технологии работ; ДВ на ср-ва со стороны др. источников воздействия. Обстоятельства: недофинансирование; плохой выбор ср-тв; износ; ошибки при монтаже и эксплуатации. Условия: недостаточное внимание к составу и качеству ср-тв со стороны администрации; нерегулярный профилактический осмотр ср-тв; низкое качество обслуживания ср-тв.
Системы обеспечения функ-ия ТС - а) выход из строя; б) сбои в работе. Причины, обстоятельства, условия: смотри ТС. Технологические процессы - изменение структуры окружающей среды. Причины: явл-ся специфика технологи. Обстоятельством - необходимость такой технологии. Условием - отсутствие возможности противодействия изменению структуры окружающей среды. Природные явления - стихийные бедствия. В основе ДВ со стороны природных явлений лежат внутренние причины и обстоятельства, неподконтрольные людям, и неподдающиеся нейтрализации или устранению.
1. 11. Каналы и методы НСД к инфы.
НСД - преднамеренный или случайный доступ к инфе, не разрешенный в установленном порядке. Канал НСД - путь, используя кот., можно получить неразрешенный преднамеренный или случайный доступ к инфе. Угроза инфы - совокупность явлений, факторов и условий, создающих опасность нарушения статуса инфы. 2 принципиальных различия между понятиями "НСД" и "утечка конф инфы": a) утечка КИ происходит от носителя (источника) к лицам, не имеющим доступа к инфе; НСД осущ-ся от лиц, не имеющих доступа к защищаемой инфе, к носителям; b) утечка ограничивается тремя формами проявления уязвимости: разглашением, потерей носителя, хищением носителя или инфы; НСД может привести к хищению, уничтожению, искажению, блокированию, разглашению.
Каналы: 1. установление контакта с лицами, имеющими или имевшими доступ к конф инфе. a) выведывание инфы: b) получение от лица КИ с прежнего места работы. c) Разовая покупка КИ. d) Принуждение к выдаче КИ e) Склонение к выдаче КИ. 2. Вербовка и (или) внедрение. Агентов, кот. осущ-ют: ознакомление с док-ми, находящимися на рабочих местах др. сотруднико, осмотр продукции, наблюдение за технологическим процессом; считывание инфы в массивах др. пользователей, подслушивание разговоров, прослушивание выступлений; кража носителей инфы, 3. орг-ия физ. проникновения к носителям КИ использование подложного пропуска; маскировка под другое лицо; проход под видом внешнего обслуживающего персонала; проезд спрятанным в автотранспорте; отвлечение внимания охраны для прохода незамеченным; преодоление заграждающих барьеров, минуя охрану, 4. Проникновение к носителям КИ путем взлома дверей хранилищ и сейфов, через окна, 5. Орг-ия физ. проникновения к ср-вам отображения, хранения, обработки, воспроизведения, передачи инфы и системам обеспечения функ-ия этих ср-тв: с ПК с использ. телеф. набора или с несанкц. терминала со взломом или без взлома парольной защиты. с помощью закладных уст-тв. с помощью прямого подсоединения к кабельным линиям связи за счет ПЭМИН и ВЧ навязывания. 6. Подключение к системам обеспечения функ-ия ср-тв отображения, хранения, обработки, воспроизведения и передачи инфы, ср-тв связи: замеры потребления электроэнергии, воды или подключение к сетям питания, заземления. 7. Прослушивание речевой КИ.: Напрямую слуховой системой человека или с использованием радиозакладок, направленных микрофонов, лазерных систем. 8. Визуальный съем конф инфы может осущ-ся след. методами: чтением док-ов; осмотром продукции, наблюдением за технолог. процессом изготовления продукции; наблюдением за технол. процессами изготовления, обработки, размножения инфы; считыванием инфы в массивах др. пользователей.
1. 12. Направления, виды и особенности деят-ти разведывательных служб по НСД к инфе.
США: Руководство деят-тью разведорганов осущ. президент страны, явл-ся главой исп. власти. Упр-ие органами осущ-ся через Совет Нац. Безопасности (СНБ). Совет определяет политику в области НБ и основные направления деят-ти развед. и контрразвед. органов. В состав СНБ входят: вице-президент, руководители ведущих министерств и ведомств, директор ЦРУ. ЦРУ основной развед. орган. Структурно ЦРУ состоит из функц-ых и региональных директоров, уп-ий и отделов. Разведслужбы министерства обороны США: Развед. упр-ие (РУМО) - военная разведка; АНБ - перехват и расшифровки сообщений, разрабатывает шифры; Нац. упр-ие воздушно-космической разведки - запуск и упр-ие спутников-шпионов. Англия: Руководство деят-ти разведки и контрразведки осущ. объединенный развед. комитет. Ми-6 - внешняя разведка, Ми5 - контрразведка. Центр правительственной связи - радиоэле. разведка и обеспечение ЗИ в правительстве и армии. Комитет безопасности - осущ. ор-ию взаимодействия развед. и контрразвед. органов со службами безопасности министерств, ведомств и предприятий. В составе министерства обороны имеется: объединенное разведывательное бюро - военно-морская и военно-воздушная разведка; упр-ие военной разведки, которое занимается практически тем же. Основными органами разведки явл-ся: сухопутная; морская; военная (воздушная Франция: Основные руководящие и координирующие органы разведки: комитет Обороны - гл. Президент, он определяет основные направления внутренней и внешней политики и разведывательной и контрразведывательной деят-ти; Межминистерский комитет по разведки - гл. премьер-министр, занимается почти тем же. Осн. развед. орган - Главное упр-ие внешней безопасности (ДЖСЕ) - сбор разведывательной инфы. Развед. упр-ие МО, в которое входят разведслужбы (вторые бюро) военно-морских, военно-сухопутных сил. ФРГ: Руководство разведкой осущ-ся ведомством фед-го канцлера через Комитет госсекретарей - определяет задачи разведки, координирует и контролирует деят-ть всех органов разведки, контрразведки и полиции. Осн. развед. орган - федеральная разведывательная служба (БНД 46-47г. г. ). При штабе МО есть военная разведка "Упр-ие инф-ой службы Бундесфера", а при штабах трех родов войск существуют разведотделы. Контрразвед орган Федеральное ведомство по охране конституции. Канада: Департамент национальной безопасности и канадских сил: Разведывательное подразделение и Бюро безопасности связи. Королевская канадская конная полиция, Канадская служба безопасности и разведки (СИСИС), Канадская криминальная и разведывательная служба. Япония: Упр-ие расследований и общественной безопасности в составе министерства юстиции. Италия: СИСМИ - служба инфы военной разведки; СИСДЭ - служба инфы и демократической безопасности. Израиль: Комитет руководителей служб ВААДАТ, разведывательная служба Моссад.
По структуре можно разделить на 3 категории: разведслужбы в составе подразделений безопасности предприятий; самостоятельные разведывательные подразделения в составе предприятий; специализированные разведывательные службы, являющиеся самостоятельными предприятиями. Три формы разведки: Нелегальная разведка (агентурная развед., шпионаж) - добывание разведывательной, защищаемой инфы с помощью агентов, т.е. лиц, действующих по поручению разведки. Легальная разведка (методы): приобретение открытой литературы; выведывание инфы у граждан; визуальное наблюдение при поездках. Разведка научно-техническая - разведка с помощью технические ср-ва.
Направления и виды разведывательной деят-ти, их соотношение и взаимосвязь. Направления деят-ти спецслужб: 1) добывание разведывательной инфы, исследование и анализ инфы, создание условий для работы разведки, непосред-ные действия, или ведение подрывных акций; 2) военно-политический шпионаж, экономический шпионаж, промышленный шпионаж.
1. 13. Организационные основы и методологические принципы ЗИ.
Орг. основы: Наличие спец. подразделений ЗИ; нормативно-методической базы по ЗИ; Наличие помещений для хранения носителей и для работы с ними; обеспечение охраны; Наличие мат. базы для ЗИ; мероприятий по орг-ии ЗИ и эфф-ти.
Значение принципов ЗИ - основные исходные положения, подходы и требования по ЗИ. Они универсальны, т.е. применимы к ЗИ, составляющей любой вид тайны. Принципы, обусловленные принадлежностью, ценностью, конф-тью, технологией ЗИ. Суть принципов сводится к следующему: ЗИ должен обеспечивать собственник или владелец; В ЗИ должны участвовать все сотрудники соприкасающихся с защищаемой инфой; персональная ответственность сотрудника к допущенной инфы; ЗИ в соотв. с нормативно-правовой базой; ЗИ дб привязана к конкретным специфике предприятия; должны учитываться все потенциально угрозы, вероятность их реализации стремления и возможности соперников; Уровень ЗИ должен соответствовать важности инф; ЗИ дб экономически целесообразна; ЗИ дб своевременной; ЗИ дб непрерывной; ЗИ дб системной и комплексной; ЗИ дб дифференцирована, в зависимости от характера, объема, вида тайны и т. д. ; ЗИ не должна препятствовать коммерческому использованию инфы; ЗИ содействовать повышению эфф-ти деят-ти.
1. 14. Объекты ЗИ.
Объект ЗИ - Инфа или носитель инфы, или инф. процесс, кот. необходимо защищать в соотв. с целью ЗИ. Соотношение Объектов ЗИ и рубежей: 1) территория; 2) здания; 3) Помещения в кот. расположены хранилища носителей инфы, производиться работа с защищаемой инфой; 4) Непосред-но хранилища, ср-ва транспортировки (временные хранилища). Носитель инфы: человек; матер. носители на разл. основах; продукция; технологические процессы; ЭМ-поля; (опосредованные) мат-ые объекты и ) геометрические формы, размеры и архитектурные особенности строений. Состав хранилищ носителей: Хранилища - Металлические шкафы, сейфы, боксы и т. д. Они защищают от НСД к носителям. Располагается в защищённых помещениях (двери, замки, решетки). Защита осущ-ся с помощью замков, сигнализации. Состав подлежащих защите ТС: Объектами ЗИ: ср-ва отображения, обработки, воспроизведения и передачи инфы; ЭВМ - защищаются от несанкц. подключения, вируса, визуального наблюдения, вывода из строя; ср-ва видео-техники - защищаются от прослушивания и визуального наблюдения; ср-ва радио и кабельной связи - защищается от прослушивания. Др.: Системы обеспечения функ-ия предприятия - Защищаются от прослушивания, визуального наблюдения, вывода из строя; ТС ЗИ - Защищаются от визуального наблюдения и от НСД к ним. Виды и способы ДВ: Люди - непосред-ное воздействие; вывод из строя ТС;
1. 15. Классификация видов, методов и СрЗИ.
Правовая защита - вид защиты, включающий совокупность установленных и охраняемых государством правил, регламентирующих защиту инфы. Организационная защита инфы -включает совокупность орг.-распорядительных док-ов, орг-ых методов и мероприятий, регламентирующих и обеспечивающих организацию, технологию и контроль ЗИ. Основу криптографической ЗИ составляет криптография. Программно-аппаратная ЗИ -спец. программы, функционирующие автономно, либо реализовано в программных ср-вах обработки инфы или ТС. Т.о., программно-аппаратная защита предназначена для защиты инф-ых технологий и ТС обработки инфы. ИТЗИ - комплекс ИТ методов, ТС и мероприятий по их установке и эксплуатации. Сферой инженерно-технической ЗИ явл-ся защита от физ. и технического НСД.
Методы ЗИ - способы защиты, кот. самостоятельно или в совокупности со ср-вами защиты обеспечивают один или несколько видов защиты. Локальные - методы имеющие отношение к одному определённому виду защиты. Универсальные- методы используемые не в одном, а в нескольких видах защиты; Регламентация (д/б установлены правила регулирующие ЗИ); Скрытие (сделать незаметным для противника существ. объекта); Маскировка (скрыть истинное назначение объекта); Дезинфа (введение в заблуждение); Дробление (каждый знает свою часть); Препятствие (создание различных препятствий). Ср-ва ЗИ - совокупность технические, криптографические, программные и др. ср-ва, предназначенные для ЗИ, ср-ва, в кот. они реализованы, а также ср-ва контроля эфф-ти защиты. Бывают: Технические (аппаратные) ср-ва; Программные ср-ва; Смешанные аппаратно-программные; Организационные ср-ва (организационно-технических и организационно-правовых). Области применения методов: Организац. -общие: разработка и внедрение технологии защиты; подбор, проверка и обучение персонала; распределение и регламентация обязанностей по ЗИ; установление персональной ответственности; поощрения за обеспечение ЗИ; осущ-е контроля. Специфические методы организационной защиты относятся к конкретным объектам защиты: конф док-ми; защищаемой продукции; допущенному к защищаемой инфы персоналу. Криптографические - относящимися к ЗИ в целом и включают в себя шифрование, кодирование. Шифрование явл-ся самым распространённым методом в инф. сетях. Инженерно-технические Общие методы обеспечивают ЗИ: От несанкц. физ. проникновения к ней; От визуального наблюдения; От подслушивания; От перехвата электромагнитных излучений.
1. 16. Кадровое и ресурсное обеспечение ЗИ.
От угроз со стороны персонала нужно: вести учет носителей КИ; санкционировать и вести учет доступа к носителям инфы; назначение ответственных лиц за соблюдением режима конф-ти; ответственность исполнителей; инструктаж сотрудников; квалификационные сотрудники. Состав кадрового обеспечения ЗИ: Руководители предприятий и структурных подразделений; Спец. комиссии по ЗИ; СБ. Полномочия руководства: ответственность за обеспечение режима секретности, за своевременную разработку и осущ-е мероприятий по ЗИ; Издают приказы, распоряжения, положения, инструкции и др., регламентирующие работу с конфиденц. инфой; подбор кадров по ЗИ; контроль обеспечения режима секретности. Полномочия подразделений: обеспечение режима секретности; ведение конф делопроизводства; орг-ия приема, учета, хранения и размножения конф док-ов; контроля обращения с конфи док-ми; контроль присвоения грифа секретности; орг-ия внутри объектового режима. Полномочия спец. комиссий: разработка перечней сведений; снижение или снятие степени конф-ти сведений; экспертиза ценности конф док-ов. Полномочия пользователей защищаемой инфы: соблюдать требования ИБ; дать письменное обязательство о неразглашении сведений конф характера; в случае их утраты немедленно сообщить об этом администрации. Мат. ресурсы: спец. выделенные помещения, спец. оборудование, компьютерная и оргтехника, аттестованные в соотв. с принятыми нормами, аппаратные ср-ва, программные ср-ва и комплексы, ср-ва ЗИ и др. Информационные ресурсы: нормативная база по проблемам безопасности; коммерческая инфа; научно-техническая инфа; инфа о производственно-технологических процессах на предприятии; аналитическая инфа. Финансовые ресурсы: Практическая работа по проектированию, созданию и сопровождению системы ЗИ невозможна без экономического обоснования затрат на их реализацию. Количественные показатели: бюджет службы ЗИ и предприятия в целом; число ЭВМ на рабочих местах, сейфов, столов, стульев, мест хранения; кол-во кабинетов для конф делопроизводства; число сотрудников для выполнения конф делопроизводства. Качественные показатели: квалификация сотрудников; наличие сертифицированных СрЗИ; соот-ие помещения требованиям ФСТЭК.
2. 1. Сущность, общее содержание, задачи и принципы орг-ии КСЗИ.
Система ЗИ - организованная совокупность органов и объектов ЗИ, использование методов и ср-тв защиты, а также осущ-е защитных мероприятий. КСЗИ - система полно и всесторонне охватывающая все процессы и факторы обеспечивающие безопасность защищаемой И. Назначение - объединение в одно целое локальных систем ЗИ, причем они должны функционировать в единой связке. Система должна объединять логически и технологически все составляющие защиты, полнота всех сост. и явл-ся вторым назначением комплексности. Система должна обеспечивать безопасность всей совокупности И. В то же время комплексность предполагает дифференцированный подход к ЗИ, в зависимости от состава ее носителей, видов тайны, ср-тв хранения и обработки, форм и условий появления уязвимости, каналов и методов НСД к И. Основные задачи КСЗИ. 1)Задачи анализа - опр-е хар-к изучаемого объекта и целей его функ-ия, а также целей орг-ии системы защиты объекта и состава ср-тв и затрат; 2)Задачи синтеза - проектирование архитектуры и технологических схем функ-ия объекта и системы. 3)Задачи упр-ия - поиск управляющих воздействий на параметры объекта и системы с целью поддержания их в требуемом состоянии. Факторы, влияющие на организацию КСЗИ. существенные изменения и усложнение в орг-ии ИТ; повышение значимости И, как общественного ресурса; большое разнообразие (арсенал) способов ДВ на И, способов ее злоумышленного использования. Дополняют их факторы внутреннего хар-ра: наличие богатого опыта орг-ии защитных процессов по отношению к традиционным и автоматизированным технологиям ее обработки; наличие эф-ных научных и практических разработок СрЗИ по всем основным направлениям (правовому, инженерно-техническому, программно-аппаратному, криптографическому, организационному), наличие развитой системы, подготовки, переподготовки и повышения квалификации кадров в сфере ЗИ. Принципы орг-ии КСЗИ: принцип законности ЗИ; принцип полноты состава ЗИ; принцип обоснованности ЗИ; принцип персональной ответственности за ЗИ; принцип наличия использования всех необходимых сил и ср-тв для защиты; принцип превентивности принимаемых мер по ЗИ, кот. заключается в опережающем заблаговременном принятии мер по защите И до начала ее разработки или при получении. Основные требования, предъявляемые к КСЗИ. -1 Система дб привязана к целям и задачам ЗИ на конкретном предприятии. -2 Система дб целостной, а именно содержать все необходимые составляющие, иметь структурные связи между компонентами. -3 Система дб всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты. -4 Система дб достаточной для решения поставленных задач и надежной во всех эл-тах защиты. -5 Система дб вмонтированной в технологические схемы сбора, хранения, обработки, передачи и использования И. -6 Система дб компонентно, логически, технологически и экономически обоснованной. -7 Система дб реализуемой, обеспеченная всеми необходимыми ресурсами. -8 Система дб простой и удобной в эксплуатации и упр-ии. -9 Система дб непрерывной. -10 Система дб достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки И, условий защиты.
2. 2. Технология и орг-ия КСЗИ.
Общая или комплексная цель это проектирование орг-ии технологии всего комплекса или большего числа мероприятий по ЗИ. При локальном проектировании осущ-ся проектирование отдельной подсистемы КСЗИ. Перечень направлений комплексного проектирования определяется в зависимости от нужд конкретного предприятия и постановленных перед проектом задач и условий. Основные направления проектирования КСЗИ: 1. создание и совершенствование орг структуры КСЗИ; 2. соверш-е технологических процессов ЗИ; 3. соверш-е методов и СрЗИ; 4. соверш-е информац обеспечения ЗИ; 5. соверш-е связей и орг-ия взаимодействия по вопросам ЗИ с др предприятиями.
Основные этапы технологии построения организационных систем: 1. постановка проблемы; 2. исследование проблемы (сбор, анализ данных, построение модели); 3. опр-е границ (с точки зрения состава) проблемного объекта, т.е. всех потенциальных участников решения проблемы; 4. обследование проблемного объекта; 5. выбор критерия эфф-ти или оценка альтернативных проектов; 6. выбор границ (состава) объекта упр-ния; 7. обследование объекта упр-я (изучение организаций, входящих в состав объекта упр-ия с целью формирования альтернативных вариантов построения системы упр-ия и орг с-мы в целом); 8. разработка ТЗ; 9. техническое и рабочее проектирование; 10. внедрение. Хар-ика основных стадий создания КСЗИ. Процесс создания КСЗИ вкл. несколько стадий: предпроектную стадию, стадию рабочего проектирования, внедрение и эксплуатация. На предпроектной стадии происходит разработка технико-экономич обоснования (ТЭО) к созданию системы, опред. общие требования к ней, а также разрабатывается ТЗ. В ТЭО - обосновывается необход. создания, задачи, состав функций, оцениваются затраты, определяются требования к КСЗИ в целом и отд. ее подсистемам. В ТЗ - указыв. порядок проведения проектных и др. работ, их очередность, стадии, этапы, орг-ии-исполнители, составляется план - график мероприятий по вводу в действие системы. Далее начинается обследование предприятия с целью выявления объектов ЗИ и опр-я целей, ф-ций, задач и состава основных компонент СЗИ. Происходит. - формирование рабоч. групп; - сбор и анализ данных о структуре объекта; - анализ с-мы упр-я объектом, целей его функц-я, квалиф. и численного состава сотрудников, технологич. базы; - определение объемов работ, необходимых для создания системы и затрат. На стадии рабочего проектирования детализируется орг, тех, технологические идеи и решения, содержащиеся в тех. проекте; происходит подготовка рабоч. помещений, утверждение спецификаций оборудования, монтаж и наладка ТС, подготовка нормативно-справочной док-тации, док-тационное оформление самого проекта. На стадии внедрения идет процесс постепенного перехода на др. уровень орг-ции технологич. процессов, обучение персонала, доработка отд. компонентов с-мы, составление приемно-сдаточного акта. Эксплуатация включает уточнение требований, предъявляемых к СЗИ на данном предприятии, корректировку проектных решений, отладку ср-тв и технологии выполнения ф-ций по эксплуатации, оценку устойчивости системы к негативным воздействиям, орг-тех и программное сопровождение работы технических комплексов. - Назначение и структура задания на проектирование, технического задания, технико-экономического обоснования. Цель разработки техн. задания это обоснование требований в структуре систем защиты, обеспечение совместимости и взаимодействия всех ср-тв, Обеспечение состава системы, плана ее создания, и оценка затрат. На этом этапе разрабатываются и обосновываются все проектные решения. А именно разработан и обоснован выбранный вариант проекта, уточнены перечни ТС. Разработка технического задания начинается после утверждения технико-экономического обоснования. При разработке технико-экономического обоснования - анализируется деят-ть объекта, готовятся исходные данные для того, чтобы сформулировать технико-экономическое обоснование, главное на этом этапе это обоснование целесообразности и необходимости создания системы защиты, выбор защищаемых каналов, определение объемов работ по созданию системы защиты, сметы и сроков ее выполнения. Технико-экономическое обоснование должно согласовываться с орг-иями и службами ответственными за обеспечение Безопасности.
- Предпроектное обследование, технический проект, рабочий проект. Обследование предприятия производится с целью выявления объектов ЗИ и определения целей, функций, задач и состава основных компонент СЗИ. Происходит. - формирование рабоч. групп; - сбор и анализ данных о структуре объекта; - анализ системы упр-ия объектом, целей его функ-ия, квалификации и численного состава сотрудников, технологич. базы; - определение объемов работ, необх. для создания системы и затрат. - Особенности ввода в эксплуатацию КСЗИ. Этап эксплуатации: контроль состояния и оценки качества функц-я КСЗИ; координация и контроль работы подразделений, обеспечивающих функц-е КСЗИ; проверка по действующим методикам соблюдение треб-й нормативных док-ов по з; оценка обоснованности или необх-ти корректировки принимаемых решений и мер по ЗИ; внесение изменений и дополнений в норм-методические, мат-тех и кадровое обеспечение КСЗИ. Желательно, чтобы в монтаже, настройки защитных систем участвовали те сотрудники, кот. в дальнейшем будут их эксплуатировать. Создание системы ЗИ в орг-ии это четкое распределение функций и согласование выполняемых работ, основной причиной разработок явл-ся отсутствие единого руководства, координационного плана и неудовлетворительная орг-ия контроля и упр-ие ходом разработки со стороны заказчика.
2. 3. Разработка модели КСЗИ.
Под моделью понимается образ реального объекта, выраженный в мат-ой или идеальной форме, отражающий наиболее существенные свойства объекта и замещающий его в ходе изучения. Сам процесс моделирования охватывает формирование след-их моделей кибернетической, функциональной, структурной и инф-ой. Кибернетика занимается изучением процессов упр-ия системами любой природы. Законы кибернетики: Любое упр-ие - это информац процесс., это целенаправленный процесс, это с-ма, в к-рой есть субъект упр-ия, объект упр-ия, прямая и обратная связь между ними. В киберн. системе дается описание экономических, социальных, правовых, политических, финансовых и др. условий, в к-рых функционирует КСЗ и к-рые образуют для нее внешнюю среду.
Организационное построение КСЗИ Как правило, орг с-мы - это сложные многоуровневые системы, к-рые состоят из мн-ва взаимодействующих эл-тов и подс-м. Отличительной их особенностью явл-ся то, что кажд ее эл-т принимает решение по орг-и действий, т.е. явл-ся решающим эл-том. Исполнительные эл-ты принимают решение по орг-ии только своих собственных действий, руководящие эл-ты - своих собственных и действий исполнительных эл-тов.
Основные этапы технологии построения организационных систем: 1. постановка проблемы; 2. исследование проблемы (сбор, анализ данных, построение модели); 3. опр-е границ (с точки зрения состава) проблемного объекта, т.е. всех потенциальных участников решения проблемы; 4. обследование проблемного объекта; 5. выбор критерия эфф-ти или оценка альтернативных проектов; 6. выбор границ (состава) объекта упр-ния; 7. обследование объекта упр-я (изучение организаций, входящих в состав объекта упр-ия с целью формирования альтернативных вариантов построения системы упр-ия и орг с-мы в целом); 8. разработка ТЗ; 9. техническое и рабочее проектирование; 10. внедрение; В зависимости от полноты перечня вопросов, подлежащих исследованию, проектные работы представляются в виде разработки комплексного или локального проекта.
Функциональная модель КСЗИ Функциональная модель - отражение состава и содержания общих и спец. функций системы комплексной ЗИ, реализуемых в рамках определенных условий, кот. связаны с этапами формирования и развития системы и объекта защиты. Анализируя срезы этой модели можно детализировать содержание функций защиты по выбранному направлению на конкретном этапе развития системы защиты.
Модель потенциального нарушителя. Злоумышленником будем называть нарушителя, намеренно совершающего те или иные действия с целью компрометации инфы. Модель нарушителя определяет его потенциальные возможности, знания, время и место действия. Ппри разработке модели определяется предположение о категории лиц, к которой может принадлежать нарушитель. Предположения о мотивах действий нарушителя (какие цели преследует, предположения о квалификации нарушителя и его технической оснащенности, об использовании в совершении нарушения методов и ср-тв). Ограничения и предположения о характере возможных действий нарушителя. По отношению к системе нарушители могут быть внутренними (из числа персонала) или внешними. Всех нарушителей можно квалифицировать след. образом: по уровню знаний; по уровню возможностей (использованных методов и ср-тв); по времени действия: а) в момент функ-ия системы б) в период неактивности компонентов; по месту действия: а) без доступа на контролируемую территорию б) с контролем территории без доступа в здание, помещении в) внутри помещения г) с доступом к данным д) с доступом к месту упр-ия ср-вами обеспечения безопасности.
Реализация концепции СЗИ матрица разграничения доступа, модель с полным перекрытием. Обеспечение ЗИ основная цель. Для этого нужно организовать матрицу разграничения доступа (наглядно реализуется в АИС), в которой каждый субъект имел бы опред. права относительно каждого объекта. Чтобы построить модель с полным перекрытием, нужно закрыть все возможные пути НСД и ДВ на объект. Нужно выявить все явления, факторы и условия, кот. могут нарушить статус инфы. НСД к каждому из наборов защищаемых объектов дб сопряжен с некоторой долей ущерба для своего владельца. С каждым объектом требующим защиты связывается некоторое множество действий, к кот. может прибегать злоумышленник для получения НСД. Если попытаться перечислить все потенциальные действия злоумышленника, то т.о будет перечислен набор угроз направленных на нарушения БИ.
2. 4. Назначение, структура и содержание упр-ия КСЗИ.
Технология орг. упр-ия - регламентированная совокупность методов и ср-тв упр-ия коллективами людей в процессе достижения цели их деят-ти. Организационное упр-ие может быть рассмотрено в двух основных аспектах: 1. орг-ия содержания деят-ти (что делается, т.е. каковы ф-ии и цели системы упр-ия) 2. орг-ия самого процесса (как делается: какими методами достигается поставленная цель и осущ-ся сам процесс упр-ия). Общая цель упр-ия - обеспечение максимально возможной эфф-ти использования ресурсов. Орг-ия упр-ия представляет собой процесс упорядочения управляющих систем и включает след. операции: выявление функций упр-я; установление рационального кол-ва ступеней и звеньев упр-я; распределение функций, прав и ответственности между ними по вертикали и горизонтали; определение профессионального и количественного состава кадров; выбор ТС упр-ия; разработка нормативно-методической базы (положения, должностных инструкций.. ); регламентация, т.е. установление порядка реализации управленческих процессов (направления, схемы док-оборота, сетевые и матричные схемы решения задач). Взаимодействию упр-ия присущи след-щие черты: субъект упр-ия направляет объекту упр-я команды упр-ия, к-рые содержат инф-цию о функ-ии объекта упр-ия; объект упр-ия получает их, действует в соотв. с ними. В роли субъекта упр-я могут выступать совокупность подразделений или служб предприятия, отдельное подразделение. В качестве объекта может выступать коллектив спец-ов, отдельный работник, ресурсообеспечение, док-топоток и т. п. Упр-ие необходимо рассматривать как процесс, имеющий как прямые, так и обратные связи.
- Планирование деят-ти КСЗИ. В упр-ии КСЗИ выделяют 4 основные ф-ии: планирование, календарное руководство выполнением плана, оперативное упр-ие (в условиях ЧС) и контроль. Плановые периоды: Долгосрочные (3-5 лет и более) Среднесрочные (1-3 года) Текущие (1 неделя - 3 месяца, декада) Ф-ция планирования имеет сложную структуру, в к-рой можно выделить след-щие подф-ии: прогнозирование, моделирование и программирование. В качестве конечных точек планирования выступают цели. Цели дб: реальными и достижимыми; детализированными по подразделениям; измеримыми - однозначными для понимания (четкими); не противоречащими объективным законам упр-ия; понятными для исполнителей. Цели: задаются с учетом объема работ и сроков их выполнения; задаются с учетом имеющихся ресурсов для их достижения; задаются с учетом возможностей исполнителей. В планировании очень важны базовые компоненты: 1)методология планирования 2) методика планирования 3) комплекс показателей планирования, кот. должны образовывать логически завершенную систему 4) совокупность органов планирования - совокупность взаимосвязанных и взаимодействующих подразделений, обеспечивающих планирование. Помимо различия в подходах к планированию существует различие и в способах планирования. Различают три основных способа: анализа, синтеза, итерационный. Первый способ предполагает ступенчатую разработку плана (сверху вниз). 2 способ предполагает обратное движение - снизу вверх. 3 способ выступает в качестве собирательного. - Структура и общее содержание планов. Основные разделы мероприятий, включающихся в план: 1. организационная, методическая, контрольно-проверочная, техническая, аналитическая работы. Содержание плана: 1. желаемый результат; 2. краткая программа действий; 3. планируемые к использованию ресурсы; 4. срок исполнения; 5. исполнители. - Орг-ия выполнения планов. Планирование как ф-ция упр-ния ЗИ реализуется через сис-му принципов, к кот. относятся: 1. директивность: планы носят обязател. х-р для всех сотрудников и подразделений СлЗИ; 2. преемственность планов; 3. конкретность планов; 4. гибкость планов; 5. комплексность; 6. экономичность.
Нормативное обеспечение - это комплекс положений, законодательных актов, нормативных док-ов, методик и правил, регламентирующих создание и функционирование КСЗИ и определяющих правовой статус подразделений и лиц, входящих в структуру и обеспечивающих функционирование КСЗИ. - Подбор и обучение персонала. Работа с персоналом может быть разделена на этапы: прием на работу, обучение, адаптация и увольнение. Эфф-ть работы спец-ов зависит от 2-х параметров: способность выполнять требуемые ф-ии; желание выполнять требуемые ф-ии (мотивация). - Нормативные док-ты, регламентирующие деят-ть персонала по ЗИ. На предприятии необходимо разработать ряд док-ов: 1- Устав предприятия, фирмы, банка. (строчка о КТ) 2- Разрабатывать перечень сведений, сост. КТ предприятия. 3- Дополнить договор с сотрудниками след.и требованиями (компания создает, сотрудник не разглашает) Существует 2 варианта трудового договора: Коллективный; индивидуальный 4- Правила внутреннего трудового порядка: - порядок приема и увольнения сотрудников. - Распределение функций по ЗИ среди персонала предприятия. Текущая работа с действующим персоналом СлЗИ включает эл-ты: 1. расстановка сотрудников по направлениям ЗИ; 2. орг-ия соц-ой и проф-ой адаптации сотрудников в коллективе СлЗИ; 3. орг-ия системы оплаты и стимулирования труда; 4. оценка результатов деят-ти любого сотрудника; 5. орг-ия продвижения по службе наиболее перспективных сотрудников; 6. орг-ия подготовки руководителей СлЗИ на базе внутреннего резерва; 7. орг-ия подготовки и переподготовки сотрудников; 8. исследование коллектива СлЗИ с точки зрения неформальной орг-ии. Ф-ии, связанные с ЗИ между персоналом должны распределяться т.о., чтобы каждый сотрудник знал ровно столько, сколько ему положено знать, и понимал, что вверенная ему КИ, дб, доступна, только санкционированному кругу лиц. - Обеспечение благоприятного псих. климата в коллективе как эл-т системы. Возникновение конфликта в коллективе сказывается на качестве ЗИ и качестве упр-ия.
2. 5. Технология упр-ия КСЗИ. Определение и основные понятия технологии упр-ия КСЗИ
Технология организационного упр-ия - регламентированная совокупность методов и ср-тв упр-ия коллективами людей в процессе достижения цели их деят-ти.
Организационное упр-ие - это прежде всего вид человеческой деят-ти, и как любая деят-ть, она может быть рассмотрена в двух основных аспектах: 1. орг-ия содержания деят-ти (что делается, т.е. каковы ф-ии и цели системы упр-ия), 2. орг-ия самого процесса (как делается: какими методами достигается поставленная цель и осущ-ся сам процесс упр-ия). Общая цель упр-ия - обеспечение максимально возможной эфф-ти использования ресурсов. Технология упр-ия дб разработана так, чтобы обеспечить комплексную автоматизацию всех процессов обработки данных и упр-ия, единство органов, методов и ср-тв упр-ия, максимальную автоматизацию при решении всех задач, объективно возникающих в процессе функ-ия органов упр-ия, в тч задач выработки управленческих решений и задач информационного сопряжения взаимодействующих систем. При осуществлении любой ф-ии упр-ия должна обеспечиваться прямая и обратная связь.
Понятие управленческого решения. Управленческое решение - это процесс выработки сценария (программы) действий по решению конкретной задачи или устранения некой проблемной ситуации. Он включает в себя несколько этапов: распознавание и анализ проблемной ситуации; поиск альтернативных вариантов решения; выбор одного из альтернативных вариантов на основе ф-ии; предпочтения; оценка последствий реализации принимаемого решения; док-тальное и организационное оформление и доведение до исполнителей; контроль выполнения и корректировка (при необходимости).
Особенности поиска и принятия решений в КСЗИ. При выборе решений используют две стратегии: алгоритмические и эвристические. Первая предполагает выбор решения за конечное число шагов. Вторая -- набор правил, принципов и приемов, интуитивного характера, кот. позволяют найти решение. Факторы, влияющие на качество принимаемых решений: методический уровень разработки решения; объем, достоверность, оперативность и др. хар-ики инфы; время, необходимое для разработки решения; компетентность субъекта, принимающего решение; уровень подготовки, квалификация и личностные качества субъекта, принимающего решения.
Методы, исп-мые для принятия управл. решений в зав-сти от особ-стей ситуации. В процессе упр-ния для достижения его целей субъект упр-ния воздействует на объект. При этом вид и хар-р воздействия могут быть различными. Поэтому в упр-нии устойчивые и эффективные способы и приемы достижения целей называют методами упр-ия. Мотивации бывают: 1. Властная. 2. Мат-ая 3. Моральная. В сис-ме методов орг-ного упр-ния с учетом мотив. направленности выделяют след. группы: 1. административно-правовые; 2. экономические; 3. социально-психологические. Понятие и основные виды ЧС В контексте проблем обеспечения ЗИ
ЧС можно понимать как комплекс событий, проявление и протекание кот. могут привести к нарушению нормального функ-ия КСЗИ, либо создать условия для проявления очень опасных ДВ, влияющих на защищенность инфы. ЧС можно классифицировать по различным признакам: 1. Масштаб сферы действия: - межгос. ; - общегос. ; - местные; - объектовые. 2. Вид наносимого ущерба: - ЧС с прямым ущербом; - ЧС с косвенным ущербом; - ЧС, представляющие угрозу жизни людей; - ЧС, приводящие к нарушению экологического равновесия, уничтожению мат-ых ресурсов и т. д. З. Временные рамки и динамика развития: - стратегические ЧС; - медленнотекущие ЧС; - ЧС оперативного плана. 4. Вероятность возникновения: - прогнозируемые; - трудно прогнозируемые; - непрогнозируемые. 5. Степень сложности при ликвидации последствий: - легкоустранимые ЧС; - ЧС, требующие определенных временных и ресурсных затрат для ликвидации; - трудноустранимые ЧС,- ЧС, требующие особых ср-тв. Важным требованием к орг-ии упр-ия объектом явл-ся требование учета его особенностей. Требуемое соот-ие орг-ии упр-ия особенностям объекта имеет два аспекта: логический и количественный.
Система упр-ия КСЗИ в условиях ЧС имеет четыре режима: 1. режим повседневной деят-ти 2. режим повышенной готовности 3. чрезвычайный режим Основными причинами запаздывания ответных действий явл-ся: - Инерционность инф-ой системы. - Необходимость проверки и подтверждения достоверности инфы о возникновении ЧС. - Психологические особенности человека. Задачами в условиях ЧС явл-ся: осущ-е оперативной деят-ти по защите объектов, и все действия происходят в режиме реального времени. Режим ликвидации последствий ЧС (характеризуется отсутствием активных поражающих фактов и необходимостью проведения мероприятий по восстановлению нормального функ-ия объекта).
Обеспечение упр-ия КСЗИ в условиях ЧС. Все ситуации, возникающие в процессе функ-ия можно условно разделить на две группы: штатные и нештатные. Среди нештатных ситуаций наиболее опасными явл-ся аварийные и потенциально аварийные. Любая из этих ситуаций требует принятия ответных мер, направленных на: - сокращение комплекса факторов, влияющих на возникновение чрезвычайной ситуации; - защиту людских, инф-ых, мат-ых и др. ресурсов от негативного воздействия, нанесения ущерба и уничтожения; - обеспечение работы объекта во время и после реализации нештатной ситуации.
2. 6. Сущность и содержание контроля функ-ия КСЗИ.
Понятие и виды контроля функ-ия КСЗИ Контроль - это 1) неотъемлемый эл-т любой стадии или ф-ии упр-ия и 2) обособленная функция, обеспечивающая инфу прозрачность для определения качества хода процента упр-ия. Включает в себя 3-и стадии: -установление норм; измерение соответствия фактического состояния параметров этим нормам; коррекция отклонений. Нормы можно выражать в денежных, временных и др. единицах, поддающихся измерению. (%, квоты и т. д. ). Сам процесс контроля может иметь 3 стадии: предварительную, текущую и заключительную. 1-я стадия предварительного контроля осущ-ся до фактического начала работ. Если говорить о кадровой работе, то это предполагает тщательную оценку должностных обязанностей различных категорий сотрудников. Текущий контроль осущ-ся непосред-но в ходе проводимых работ. Чаще всего объектами текущего контроля становятся исполнители, а субъектом- непосред-ный начальник.
Цель проведения контрольных мероприятий в КСЗИ При контроле функ-ия КСЗИ должны осущ-ся мероприятия (цели контроля): -анализ и оценка фактического состояния; -выявление недостатков, нарушений, несоответствия требованиям, что может привести к негативным последствиям для нормального функ-ия; -выявление причин установленных отклонений (несоответствий); -выработка предложений, направленных на устранение недостатков и предотвращение нарушений. Одна из основных задач контроля - квалифицированное опр-е предела допустимых отклонений. В качестве объектов контроля могут выступать: - состояние внутриобъектового режима предприятия- мероприятия по предотвращению НСД, выноса носителей инф-ции за территорию предприятия- уровень знаний требований режима различными категориями сотрудников- качество разработки нормативно-методических и организационно-распорядительных док-ов по обеспечению функ-ия КСЗИ. - работоспособность спец. ср-тв защиты и их систем - акты подмены и несанкц. подключения к оборудованию и линиям связи. Для того, чтобы быть эффективным контроль должен обладать рядом свойств: быть объективным, своевременным, соответствовать хар-ру контролируемого процесса.
Методы контроля Виды контроля определяются, исходя из временных рамок (оперативный, эпизодический, периодический), степени автоматизации контроля (ручной, автоматизированный, автоматический), режима проведения (профилактика, в рабочем режиме), последовательность реализации (системный, последовательный, параллельный), кол-во охватываемых эл-тов (выборочный, сквозной, глобальный), полнота контроля (полный, частичный). В практической деят-ти могут быть использованы различные формы контроля, а именно: проверки, анализы, эксперименты, рассмотрения отчетов, справок. Важнейший эл-т эфф-ти контроля - это самоконтроль. По результатам проверок возможно: устранение причин, изменение состава объекта, отладка технолог процесса, изменение требований по защищенности, изменение правил, избежать негативных ситуаций. Контроль позволяет эффективно и своевременно устранять недостатки в функ-ии и упр-ии КСЗИ.
Особенности проведения контроля функ-ия КСЗИ Процесс контроля условно состоит из 3 этапов: 1. выработка стандартов по обеспечению ЗИ; 2. сравнение стандартов с достигнутыми результатами; 3. проведение необходимых корректирующих действий. В качестве отдельных типовых направлений контроля можно выделить: 1. контроль за соблюдением пропускного и внутриобъектового режимов; 2. контроль соблюдения правил доступа и допуска к защищаемой инфы; 3. контроль своевременного засекречивания, закрытия сведений; 4. контроль наличия носителей защищаемой инфы; 5. контроль за обеспечением безопасности конф мероприятий; 6. контроль обращения док-ов и продукции, содержащих один из видов тайн; 7. контроль уровня знаний сотрудниками предприятия требований защиты; 8. контроль за внедрением и использованием на предприятиях современных СрЗИ; 9. контроль за территорией и т. д. Анализ и использование результатов проведения контрольных мероприятий После оценки степени соответствия достигнутых результатов требуемым стандартам, субъект упр-ия может принимать след-щие решения: ь1. если результат соответствует стандарту, то все остается без изменений; б2. если результат не соответствует стандарту, то либо... либо...: устраняется отклонение; пересматриваются стандарты. Причины отклонения результата от стандартов: 1. плохо организованная деят-ть СлЗИ (несовершенная организационная структура, некачественно разработанные и нормативно-методические док-ты); 2. плохо разработанный план деят-ти СлЗИ; 3. недостаточность выделенных ресурсов; 4. использование устаревших или недостаточных ср-тв и методов ЗИ.
Аудит ИБ - это системный процесс получения объективных качественных и количественных оценок текущего состояния СЗИ в соотв. с критериями ИБ. Аудит ИБ можно разделить на два вида: - экспертный аудит ИБ, в ходе кот. выявл-ся недостатки в системе мер ЗИ на основе опыта экспертов, участвующих в процедуре аудита; - аудит ИБ на соот-ие международному стандарту ISO/IEC 27001: 2005 "Информационные технологии. Методы обеспечения безопасности. Системы менеджмента ИБ. Требования", разработанному Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799-2: 2002 "Системы упр-ия инф-ой безопасностью. Спецификация и руководство по применению". В качестве объекта аудита может выступать как СЗИ орг-ии в целом, так и ее отдельные сегменты, обеспечивающие обработку инфы, кот. подлежит защите. Основные задачи, кот. решаются в ходе проведения аудита ИБ В число задач, кот. решаются в ходе проведения аудита ИБ входят: - сбор и анализ исходных данных об организационной и функциональной структуре ИТС орг-ии, необходимых для оценки состояния ИБ; - анализ существующей политики обеспечения ИБ на предмет полноты и эфф-ти; - анализ инф-ых и технологических рисков связанных с осущ-ем угроз ИБ; - осущ-е тестовых попыток НСД к критически важным узлам ИТС и определение уязвимости в установках защиты данных узлов; - формирование рекомендаций по разработке (или доработке) политики обеспечения ИБ на основании анализа существующего режима ИБ; - формирование предложений по использованию существующих и установке дополнительных СрЗИ для повышения уровня надежности и безопасности ИТС орг-ии.
Цели проведения экспертного аудита ИБ Цель проведения экспертного аудита ИБ -- оценка состояния безопасности ИТС и разработка рекомендаций по применению комплекса организационных мер и программно-ТС, направленных на обеспечение защиты инф-ых и др. ресурсов ИТС от угроз ИБ. Экспертный аудит ИБ явл-ся начальным этапом работ по созданию КСЗИ ИТС. Эта подсистема представляет собой совокупность мер организационного и программно-технического уровня, кот. направлены на защиту инф-ых ресурсов ИТС от угроз ИБ, связанных с нарушением доступности, целостности и конф-ти хранимой и обрабатываемой инфы. Экспертный аудит ИБ позволяет принять обоснованные решения по использованию мер защиты, необходимых для отдельно взятой орг-ии, оптимальных в соотношении их стоимости и возможности осущ-ия угроз нарушения ИБ. Аудит ИБ на соот-ие международному стандарту ISO/IEC 27001: 2005. ISO/IEC 27001: 2005 представляет собой перечень требований к системе менеджмента ИБ (СМИБ), обязательных для серт-ии. Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию док-нной СМИБ в контексте существующих бизнес-рисков орг-ии.
Результаты проведения аудита ИБ на соот-ие международному стандарту ISO/IEC 27001: 2005 Т.о., в результате проведенного аудита на соот-ие международному стандарту ISO/IEC 27001: 2005 Заказчик получает: - описание области деят-ти СМИБ; - методику определения существенных активов; - список (опись, реестр) существенных активов орг-ии и их ценность (критичность); - методику оценки рисков; - отчет по оценке рисков; - критерии для принятия рисков; - заявление о принятии (одобрении) остаточных рисков; - план обработки рисков; - список политик, руководств, процедур, инструкций, необходимых для функ-ия СМИБ орг-ии. Рекомендации по их разработке.
3. 1. Особенности правовой защиты ГТ.
ГТ - защищаемые государством свед-я в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деят-ти, распространение кот. может нанести ущерб безопасности РФ. Вопрос регулируется: Конституция, з-н "О безопасности", з-н "О гос. тайне", др. акты, Связанные с защитой ГТ. Отнесение сведений к ГТ и их засекречивание осущ-ся в соотв. с принципами законности, обоснованности и своевременности. Срок засекречивания сведений не больше 30 лет.
Отнесение сведений к ГТ осущ-ся в соотв. с Перечнем сведений, сост. ГТ, руководителями органов гос. власти. МВК по защите ГТ формирует по предложениям органов гос. власти Перечень. В этом Перечне указываются органы гос. власти, наделяемые полномочиями по распоряжению данными свед-ями. Перечень утверждается Президентом, подлежит открытому опубликованию и пересматривается по мере необходимости. В соотв. с Перечнем разрабатываются развернутые перечни сведений, подлежащих засекречиванию.
Степень секретности сведений, сост. ГТ, должна соответствовать степени тяжести ущерба, вследствие распространения этих сведений. Степени и грифы: "особой важности", "совершенно секретно" и "секретно".
При передаче сведений, сост. ГТ, органы власти и орг-ии, кот. передаются свед-я, должны обеспечить защиту сведений. Они должны иметь лицензию на проведение работ со свед-ями соотв. степени секретности. Решение о передаче сведений, сост. ГТ, другим государствам или международным орг-иям принимается Правительством при наличии экспертного заключения МВКЗГТ о возможности передачи этих сведений. Обязательства принимающей стороны по защите регламентируются договором (соглашением). Мат-ый ущерб, наносимый собственнику инфы в связи с ее засекречиванием, возмещается государством. Заключается договор, в кот. предусматриваются обязательства собственника инфы по ее нераспространению. При отказе собственника от подписанного договора он предупреждается об ответственности за несанкц-ое распространение сведений.
К органам защиты ГТ относятся: МВКЗГТ; фед. органы исполнительной власти, уполномоченные в области обеспечения безопасности, в области обороны, в области внешней разведки, в области противодействия техническим разведкам и технической ЗИ, и их территориальные органы; органы гос. власти, предприятия, учреждения и орг-ии и их структурные подразделения по защите ГТ. Контроль за обеспечением защиты ГТ осущ-ют Президент РФ, Правительство РФ в пределах полномочий, определяемых Конституцией РФ, фед-ыми конституционными законами и ФЗ. Межведомственный контроль за обеспечением защиты ГТ в органах гос. власти, на предприятиях, в учреждениях осущ-ют фед. органы исполнительной власти, уполномоченные в области обеспечения безопасности, в области обороны, в области внешней разведки, в области противодействия техническим разведкам и технической ЗИ, и их территориальные органы.
Органы гос. власти, наделенные полномочиями по распоряжению свед-ями, состав-ими ГТ, обязаны контролировать эфф-ть защиты во всех подчиненных им органах, предприятиях, учреждениях. Контроль за обеспечением защиты ГТ в Администрации Президента РФ, в аппаратах палат Фед-го Собрания, Правительства РФ организуется их руководителями. Контроль за обеспечением защиты ГТ в судебных органах и органах прокуратуры организуется руководителями этих органов. Надзор за соблюдением законодательства при обеспечении защиты ГТ и законностью принимаемых при этом решений осущ-ют Генеральный прокурор РФ и подчиненные ему прокуроры. Уголовная ответственность за разглашение ГТ - ст. 283,284 УК РФ.
3. 2. Особенности правовой защиты служ. тайны
Федеральных законов, кот. регулировали бы отношения по поводу сведений, сост. СТ, нет. Есть многочисленные упоминания о СТ в различных законодательных актах: ФЗ об инфы, ИТ и ЗИ, ТК, УК, ФЗ О гос. гражданской службе РФ (ст. 17, 24, 37) и др. Единственным док-том, регламентирующим служебную инфу, явл-ся "Положение о порядке обращения со служ. инфой в федеральных органах исполнительной власти" (1994) СТ - защищаемая по закону конф инфа, ставшая известной в гос. органах только на законных основаниях и в силу исполнения их представителей служебных обязанностей, а также служебная инфа о деят-ти любого гос. органа, доступ к которой ограничен либо ФЗ, либо служ. необходимости. Обладатели: фед. органы исполнительной власти, подведомственные им предприятия, учреждения и орг-ии. Объекты защиты: инфа служебного характера, выраженная в док-нной форме.
Меры по охране конф-ти инфы огр. доступа, переданной в гос. органы юр. и физ. лицами. Правовая охрана начинается с момента получения этих сведений в связи с исполнением обязанностей по службе в порядке и в случаях, установленных ФЗ. Защита прав госорганов в отношении СТ должна осущ-ся в порядке, аналогичном для ГТ. Положение Правительства РФ от 3 ноября 1994 г. N 1233 определяет Порядок обращения с док-ми, содержащими с. и.: 2. 1. Необходимость проставления пометки "Для служебного пользования" определяется исполнителем и должностным лицом. 2. 3. Док-ты с пометкой "ДСП": печатаются в машбюро. 2. 5. Исполненные док-ты с пометкой "ДСП" группируются в дела в соотв. с номенклатурой дел несекретного делопроизводства. 2. 6. Уничтожение дел, док-ов производится по акту. 2. 7. Передача док-ов и дел с пометкой "ДСП" осущ-ся с разрешения руководителя. 2. 8. При смене работника, ответственного за учет док-ов с пометкой "ДСП", составляется акт приемки-сдачи этих док-ов. 2. 9. Проверка наличия док-ов, дел и изданий с пометкой "ДСП" проводится не реже одного раза в год комиссиями, назначаемыми приказом руководителя. 2. 10. О фактах утраты док-ов содержащих служебную инфу, либо разглашения этой инфы ставится в известность руководитель орг-ии и назначается комиссия для расследования. 2. 11. При снятии пометки "ДСП" на док-тах делаются соот-ие отметки и информируются все адресаты, кот. эти док-ты направлялись.
Полномочия руководителя фед-го органа в отношении использования собственной СТ. Руководитель фед. органа исп. власти определяет: категории должн. лиц, уполномоченных относить сл. инфу к разряду огр. распространения; порядок передачи служ. инфы огранич. распространения другим органам и орг-иям; порядок снятия пометки "ДСП " с носителей; организацию защиты служ. инфы. Должностные лица, принявшие решение об отнесении служ. инфы к разряду огр. распространения, несут персональную ответственность. В отношении собственной сл. т. федер госорганы и их руководители должны иметь след права: устанавливать различные режимы охраны сл. т. и сроки их действия для сведений, доступ к кот. ограничен ФЗ, а также ограничен должн. лицами в силу сл. необходимости, разрешать\прекращать допуск граждан и организаций к этим свед-ям, распоряжаться свед-ями, состав-ими сл. т., требовать защиты сведений, сост. сл. т от всех лиц, кому эта и-я стала известна на законных основаниях, требовать серт-ии СрЗИ на соот-ие требованиям, требовать привлечения лиц, виновных в разглашении сл. т. к дисципл., административной или уголовной ответственности.
3. 3. Особенности правовой защиты служ. тайны
КТ - режим конф-ти инфы, позволяющий ее обладателю увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Правовые основы защиты коммерческой тайны: ГК, ФЗ РФ "О коммерческой тайне", др. ФЗ. Режим коммерческой тайны считается установленным после принятия обладателем инфы, сост. КТ, мер: определить перечень инфы, составляющей тайну, установить порядок обращения с этой инфой и порядок контроля за его соблюдением; вести учет лиц, кот. имеют доступ к этой инфы или кот. она была передана; урегулировать договорные отношения с контрагентами и своими сотрудниками; нанести на мат-ые носители гриф "КТ".
Охрана КТ в трудовых отношениях. 1. В целях охраны конфид-ти инфы работодатель обязан: ознакомить под расписку работника с Перечнем; ознакомить под расписку работника с установленным режимом КТ и с мерами ответственности за его нарушение; создать работнику необходимые условия для соблюдения им установленного режима. 2. Доступ работника к инфы, составляющей КТ, осущ-ся с его согласия, 3. В целях охраны конф-ти инфы работник обязан: выполнять установленный работодателем режим КТ; не разглашать инфу, составляющую КТ не использовать эту инфу в личных целях; не разглашать инфу, составляющую КТ, после прекращения трудового договора в течение опред. срока или в течение трех лет после прекращения трудового договора, если соглашение не заключалось; возместить причиненный работодателю ущерб, если работник виновен в разглашении КТ; передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника мат-ые носители инфы, содержащие инфу, составляющую КТ. 4. Работодатель вправе потребовать возмещения причиненных убытков лицом, прекратившим с ним трудовые отношения, в случае, если это лицо виновно в разглашении инфы, составляющей КТ, если разглашение последовало в течение срока, оговоренного выше. 5. Причиненные ущерб, убытки не возмещаются работником или прекратившим трудовые отношения лицом, если разглашение инфы явилось следствием непреодолимой силы, крайней необходимости или неисполнения работодателем обязанности по обеспечению режима КТ. 6. Трудовым договором с руководителем орг-ии должны предусматриваться его обязательства по обеспечению охраны конфид-ти инфы. 7. Руководитель орг-ии возмещает орг-ии убытки, причиненные его виновными действиями 8. Работник имеет право обжаловать в судебном порядке незаконное установление режима КТ.
Практические аспекты использования законодательства о коммерческой тайне. Если в уставе орг-ии прописан режим КТ, то при нарушении режима КТ третьими лицами, собственник инфы может обратиться в суд, в установленном порядке, на основании ФЗ "О КТ".
Особенности правовой охраны секретов производства (ноу-хау) в режиме КТ. Секретом производства (ноу-хау) - свед-я любого характера (производственные, технические, экономические, организационные и др.), в тч о результатах интел-ой деят-ти в научно-технической сфере, а также свед-я о способах осущ-ия проф-ой деят-ти, кот. имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к кот. у третьих лиц нет свободного доступа на законном основании и в отношении кот. обладателем таких сведений введен режим КТ. Обладателю секрета производства принадлежит ИП использования его любым не противоречащим закону способом (ИП на секрет производства). Лицо, ставшее добросовестно и независимо от др. обладателем сведений, сост. содержание охраняемого секрета производства, приобретает самостоятельное ИП на этот секрет производства. ИП на секрет производства действует до тех пор, пока сохраняется конф-ть сведений, сост. его содержание. С момента утраты конф-ти соответствующих сведений ИП на секрет производства прекращается.
Договор об отчуждении ИП на секрет производства 1. По договору об отчуждении ИП на секрет производства одна сторона (правообладатель) передает или обязуется передать ИП на секрет производства в полном объеме другой стороне - приобретателю ИП на этот секрет производства. 2. При отчуждении ИП на секрет производства лицо, распорядившееся своим правом, обязано сохранять конф-ть секрета производства до прекращения действия ИП.
Лицензионный договор о предоставлении права использования секрета производства 1. По лицензионному договору одна сторона - обладатель ИП на секрет производства (лицензиар) предоставляет другой стороне (лицензиату) право использования соотв. секрета производства в установленных договором пределах. 2. Лицензионный договор может быть заключен как с указанием, так и без указания срока его действия. В случае, когда срок не указан, любая из сторон вправе в любое время отказаться от договора, предупредив об этом не позднее чем за шесть месяцев, если договором не предусмотрен более длительный срок. 3. При предоставлении права использования секрета производства лицо, распорядившееся своим правом, обязано сохранять конф-ть секрета производства в течение всего срока действия лицензионного договора. Служебный секрет производства 1. ИП на секрет производства, созданный работником в связи с выполнением своих трудовых обязанностей, принадлежит работодателю. 2. Гражданин, кот. в связи с выполнением своих трудовых обязанностей стал известен секрет производства, обязан сохранять конф-ть полученных сведений до прекращения действия ИП на секрет производства.
Секрет производства, полученный при выполнении работ по договору В случае, когда секрет производства получен при выполнении договора, ИП на такой секрет производства принадлежит подрядчику (исполнителю), если соотв. договором не предусмотрено иное. В случае, когда секрет производства получен при выполнении работ по договору, заключаемому главным распорядителем или распорядителем бюджетных ср-тв с фед-ми гос. и учреждениями, ИП на такой секрет производства принадлежит подрядчику (исполнителю), если договором не установлено, что это право принадлежит РФ. Нарушение ФЗ о КТ влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соотв. с законодательством РФ.
3. 4. Особенности правовой защиты ПД.
Согласно закону N152 "О ПД", ПД - любая инфа, относящаяся к опред. или определяемому на основании такой инфы физ. лицу (субъекту ПД), в тч его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая инфа. Правовые основы защиты ПД: Конституция РФ, закон "О ПД", международные соглашения, руководящие док-ты ФСТЭК и ФСБ, постановления правительства, приказы, указы президента и тд.
Неприкосновенность частной жизни - одно из основных конституционных личных прав человека; означает охрану законом личной и семейной тайны. Гарантируется ст. Конституции РФ 23 и 24. Право на неприкосновенность частной жизни (составное понятие ПД) включает: запрет на сбор, хранение, использование и распространение инфы о частной жизни лица без его согласия; право контролировать инфу о себе; право на защиту чести и доброго имени; право на защиту ПД; право на тайну связи (иногда оформлено как отдельное право); право на неприкосновенность жилища (иногда оформлено как отдельное право); врачебную тайну, тайну усыновления, тайну исповеди и др. виды проф-ой тайны. В целях информационного обеспечения могут создаваться общедоступные источники ПД (в тч справочники, адресные книги). В общедоступные источники ПД с письменного согласия субъекта ПД могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, свед-я о профессии и иные ПД, предоставленные субъектом ПД. Свед-я о субъекте ПД по его требованию, либо по решению суда могут быть в любое время исключены из общедоступных источников ПД.
К спец-ым категориям свед-ям ПД относятся свед-я о: Расовой, национальной принадлежности, Политических, религиозных и философских убеждениях, Состоянии здоровья, Интимной жизни, Обработка данных сведений не допускается.
Исключаются случаи: субъект ПД дал согласие в письменной форме на обработку своих ПД; ПД явл-ся общедоступными; ПД относятся к состоянию здоровья субъекта ПД и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов др. лиц, и получение согласия субъекта ПД невозможно; обработка ПД необходима в связи с осущ-ем правосудия; обработка ПД осущ-ся в соотв. с законодательством РФ о безопасности, об оперативно-розыскной деят-ти, а также в соотв. с уголовно-исполнительным законодательством РФ. Свед-я, кот. хар-ют физиологические особенности человека и на основе кот. можно установить его личность (биометрические ПД), могут обрабатываться только при наличии согласия в письменной форме субъекта ПД. Обработка биометрических ПД может осущ-ся без согласия субъекта ПД: в связи с осущ-ем правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, об оперативно-розыскной деят-ти, о гос. службе, уголовно-исполнительным законодательством, законодательством РФ о порядке выезда из РФ и въезда в РФ.
Субъект ПД имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора ПД, а также на ознакомление со своими ПД. Субъект ПД вправе требовать от оператора уточнения своих ПД, их блокирования или уничтожения в случае, если ПД явл-ся неполными, устаревшими, недостоверными, незаконно полученными или не явл-ся необходимыми для заявленной цели обработки.
Право субъекта ПД на доступ к своим ПД ограничивается в случае, если: обработка ПД, в тч ПД, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деят-ти, осущ-ся в целях обороны страны, безопасности государства и охраны правопорядка; обработка ПД осущ-ся органами, осуществившими задержание субъекта ПД по подозрению в совершении преступления, либо предъявившими субъекту ПД обвинение по уголовному делу, либо применившими к субъекту ПД меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; предоставление ПД нарушает конституционные права и свободы др. лиц. Оператор обязан сообщить субъекту ПД или его законному представителю инфу о наличии ПД, относящихся к соотв. субъекту, а также предоставить возможность ознакомления с ними при обращении субъекта ПД или его законного представителя в течение десяти рабочих дней с даты получения запроса субъекта ПД или его законного представителя.
Обязанности оператора ПД: предоставление по просьбе субъекта ПД инфы о факте обработки его ПД, целях, способах обработки, сроках обработки и др, возможности ознакомления со своими ПД, обрабатываемыми оператором, внесение изменений в ПД субъекта по его запросу, уведомление субъекта о факте изменения его ПД, в случае отказа в предоставлении субъекту инфы о его ПД дать в письменной форме мотивированный ответ в течение недели со дня обращения субъекта. Разъяснить субъекту ПД юридические последствия отказа предоставить свои ПД, если предоставление ПД обязательно по закону. Если ПД были получены не от субъекта ПД, оператор до начала обработки ПД обязан предоставить субъекту ПД инфу: наименование и адрес оператора или его представителя; цель обработки ПД и ее правовое основание; предполагаемые пользователи ПД; установленные права субъекта ПД.
Оператор при обработке ПД обязан: принимать необходимые организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения. сообщить в уполномоченный орган по защите прав субъектов ПД по его запросу инфу, необходимую для осущ-ия деят-ти органа, в течение семи рабочих дней с даты получения такого запроса. Устранение фактов нарушения законодательства о ПД при обработке ПД, в случае невозможности устранения нарушений - уничтожить ПД. Блокировать ПД при обращении субъекта или в случае выявления недостоверности ПД или неправомерных действий с ПД Уточнение ПД в случае выявления их недостоверности и дальнейшее снятие блокирования ПД. Прекращение обработки ПД и уничтожение ПД в случае достижения цели обработки ПД В случае отзыва субъектом ПД согласия на обработку своих ПД оператор обязан прекратить обработку ПД и уничтожить ПД Оператор до начала обработки ПД обязан уведомить уполномоченный орган по защите прав субъектов ПД о своем намерении осуществлять обработку ПД. Классификация инф. систем ПД определяется Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации инф-ых систем ПД". Проведение классификации инф-ых систем включает в себя след-щие этапы: сбор и анализ исходных данных по инф-ой системе, присвоение инф-ой системе соотв. класса и его оформление. По результатам анализа исходных данных типовой инф-ой системе присваивается один из классов.
3. 5. Правовое регулирование отношений в сфере авторского права.
АП: интеллектуальные права на произведения науки, литературы и искусства независимо от способа его выражения. К объектам АП также относятся программы для ЭВМ, кот. охраняются как литературные произведения. Автору произведения принадлежат след-щие права: ИП на произведение; право авторства (право признаваться автором произведения); право автора на имя (право использовать или разрешать использовать произведение под подлинным своим именем, псевдонимом либо без обозначения имени, т.е. анонимно); право на неприкосновенность произведения; право на обнародование произведения (право обнародовать или разрешать обнародовать произведение в любой форме, в тч право отозвать произведение, которое автор ранее разрешил обнародовать). АП возникает автоматически с момента создания.
Исключительное право (ИП) на произведения науки, литературы и искусства распространяется: на произведения, обнародованные на территории РФ или необнародованные, но находящиеся в какой-либо объективной форме на территории РФ, и признается за авторами (их правопреемниками) независимо от их гражданства; на произведения, обнародованные за пределами территории РФ или необнародованные, но находящиеся в какой-либо объективной форме за пределами территории РФ, и признается за авторами, являющимися гражданами РФ (их правопреемниками); на произведения, обнародованные за пределами территории РФ или необнародованные, но находящиеся в какой-либо объективной форме за пределами территории РФ, и признается на территории РФ за авторами (их правопреемниками) - гражданами др. государств и лицами без гражданства.
К объектам АП относятся: производные произведения; составные произведения. АП распространяются как на обнародованные, так и на необнародованные произведения, выраженные в какой-либо объективной форме, в тч в письменной, устной форме (в виде публичного произнесения, публичного исполнения и иной подобной форме), в форме изображения, в форме звуко- или видеозаписи, в объемно-пространственной форме. Для возникновения, осущ-ия и защиты АП не требуется регистрация произведения или соблюдение каких-либо иных формальностей. В отношении программ для ЭВМ и баз данных возможна регистрация, осуществляемая по желанию правообладателя. АП не распространяются на идеи, концепции, принципы, методы, процессы, системы, способы, решения тех-их, организационных или иных задач, открытия, факты, языки программирования.
Автору произведения или иному правообладателю принадлежит ИП использовать произведение (в соотв. со статьей 1229 ГК РФ) в любой форме и любым не противоречащим закону способом (ИП на произведение). Правообладатель может распоряжаться ИП на произведение. Использование произведения независимо от того, совершаются ли соот-ие действия в целях извлечения прибыли или без такой цели: воспроизведение произведения, распространение произведения, публичный показ произведения, прокат оригинала или экземпляра произведения (только не в отношении программы для ЭВМ за искл. случаев, когда такая программа явл. осн. объектом права), публичное исполнение произведения, перевод или другая переработка произведения, практическая реализация архитектурного, дизайнерского, градостроительного или садово-паркового проекта.
ИП на произведение действует в течение всей жизни автора и 70 лет, считая с 1 января года, следующего за годом смерти автора. ИП на произведение, созданное в соавторстве, действует в течение всей жизни автора, пережившего др. соавторов, и 70 лет, считая с -//-. На произведение, обнародованное анонимно или под псевдонимом, срок действия ИП истекает через семьдесят лет, считая с -//- его обнародования. Если в течение указанного срока автор произведения, обнародованного анонимно или под псевдонимом, раскроет свою личность или его личность не будет далее оставлять сомнений, ИП будет действовать в течение срока, указанного выше.
ИП на произведение, обнародованное после смерти автора, действует в течение семидесяти лет после обнародования произведения, считая с 1 -//- его обнародования, при условии, что произведение было обнародовано в течение 70 лет после смерти автора. Если автор произведения был репрессирован и посмертно реабилитирован, срок действия ИП считается продленным и семьдесят лет исчисляются с 1 января года, следующего за годом реабилитации автора произведения.
Если автор работал во время ВОВ или участвовал в ней, срок действия ИП увеличивается на 4 года. По истечении срока действия ИП произведение, как обнародованное, так и необнародованное, переходит в общественное достояние. Произведение, перешедшее в общественное достояние, может свободно использоваться любым лицом без чьего-либо согласия или разрешения и без выплаты авторского вознаграждения. При этом охраняются авторство, имя автора и неприкосновенность произведения. Перешедшее в общественное достояние необнародованное произведение может быть обнародовано любым лицом, если только обнародование произведения не противоречит воле автора. ИП на произведение переходит по наследству.
ИП на служебное произведение принадлежит работодателю, если не предусмотрено иное. Если работодатель в течение трех лет со дня, когда служебное произведение было предоставлено в его распоряжение, не начнет использование этого произведения, не передаст ИП на него другому лицу или не сообщит автору о сохранении произведения в тайне, ИП на служебное произведение принадлежит автору. Если работодатель в срок начнет использование служебного произведения или передаст ИП другому лицу, автор имеет право на вознаграждение.
3. 6. Правовое регулирование отношений в сфере прав, смежных с авторскими (смежные права)
Смежные права - это интеллектуальные права на результаты исполнительской деят-ти (исполнения), на фонограммы, на сообщение в эфир или по кабелю радио- и телепередач (вещание организаций эфирного и кабельного вещания), на содержание баз данных, а также на произведения науки, литературы и искусства, впервые обнародованные после их перехода в общественное достояние. К смежным правам относится ИП, а также личные неимущественные права, предусмотренные 4 частью ГК РФ.
Права на исполнение: Исполнителем признается гражданин, творческим трудом кот. создано исполнение, - артист-исполнитель, а также режиссер-постановщик спектакля и дирижер.
Смежные права на совместное исполнение принадлежат совместно принимавшим участие в его создании членам коллектива исполнителей независимо от того, образует такое исполнение неразрывное целое или состоит из эл-тов, каждый из кот. имеет самостоятельное значение. Смежные права на совместное исполнение осущ-ся руководителем коллектива исполнителей, а при его отсутствии - членами коллектива исполнителей совместно. Если совместное исполнение образует неразрывное целое, ни один из членов коллектива исполнителей не вправе без достаточных оснований запретить его использование. Эл-т совместного исполнения, использование кот. возможно независимо от др. эл-тов может быть использован создавшим его исполнителем по своему усмотрению. Доходы от совместного использования результата интел-ой деят-ти или ср-ва индивидуализации распределяются между всеми правообладателями поровну, если соглашением между ними не предусмотрено иное. Каждый из членов коллектива исполнителей вправе самостоятельно принимать меры по защите своих смежных прав на совместное исполнение, в тч в случае, когда такое исполнение образует неразрывное целое.
Исполнителю принадлежат: ИП на исполнение; право авторства - право признаваться автором исполнения; право на имя; право на неприкосновенность исполнения (от искажения).
Исполнители осущ-ют свои права с соблюдением прав авторов исполняемых произведений. Права исполнителя признаются и действуют независимо от наличия и действия АП на исполняемое произведение.
ИП на исполнение
Исполнителю принадлежит ИП использовать исполнение любым не противоречащим закону способом (ИП на исполнение). Использованием исполнения считается: сообщение в эфир; сообщение по кабелю; запись исполнения; воспроизведение записи исполнения, то есть изготовление одного и более экземпляра фонограммы либо ее части; распространение записи исполнения; действие, осуществляемое в отношении записи исполнения и предусмотренное подпунктами 1 и 2; доведение записи исполнения до всеобщего свед-я т.о., что любое лицо может получить доступ к записи исполнения из любого места и в любое время по собственному выбору; публичное исполнение записи исполнения; прокат оригинала или экземпляров записи исполнения.
1. ИП на исполнение действует в течение всей жизни исполнителя, но не менее 50лет, считая с 1 января года, следующего за годом, в кот. осуществлены исполнение, либо запись исполнения, либо сообщение исполнения в эфир или по кабелю. 2. Если исполнитель был репрессирован и посмертно реабилитирован, срок действия ИП считается продленным, и пятьдесят лет исчисляются с 1 января года, следующего за годом реабилитации исполнителя. 3. Если исполнитель работал во время ВОВ или участвовал в ней, срок действия ИП, установленный пунктом 1 настоящей статьи, продлевается на четыре года. 4. К переходу ИП на исполнение по наследству применяются правила статьи 1283 ГК (Авт. право). 5. По истечении срока действия ИП на исполнение это право переходит в общественное достояние.
ИП на исполнение действует на территории РФ в случаях, когда исполнитель явл-ся гражданином РФ; исполнение впервые имело место на территории РФ.
Изготовителем фонограммы признается лицо, взявшее на себя инициативу и ответственность за первую запись звуков исполнения или др. звуков либо отображений этих звуков. При отсутствии доказательств иного изготовителем фонограммы признается лицо, имя или наименование кот. указано обычным образом на экземпляре фонограммы и (или) его упаковке.
Изготовителю фонограммы принадлежат: ИП на фонограмму; право на указание на экземплярах фонограммы и (или) их упаковке своего имени или наименования; право на защиту фонограммы от искажения при ее использовании; право на обнародование фонограммы. Изготовитель фонограммы осуществляет свои права с соблюдением прав авторов произведений и прав исполнителей. Права изготовителя фонограммы признаются и действуют независимо от наличия и действия АП и прав исполнителей. Право на указание на экземплярах фонограммы и (или) их упаковке своего имени или наименования и право на защиту фонограммы от искажения действуют и охраняются в течение всей жизни гражданина либо до прекращения юридического лица, являющегося изготовителем фонограммы.
Использованием фонограммы считается: 1) публичное исполнение; 2) сообщение в эфир; 3) сообщение по кабелю; 4) доведение фонограммы до всеобщего свед-я; 5) воспроизведение; 6) распространение фонограммы; 7) импорт оригинала или экземпляров; 8) прокат оригинала и экземпляров фонограммы; 9) переработка фонограммы. Лицо, правомерно осуществившее переработку фонограммы, приобретает смежное право на переработанную фонограмму. ИП на фонограмму действует в течение 50лет, считая с 1 января года, следующего за годом, в кот. была осуществлена запись. В случае обнародования фонограммы ИП действует в течение пятидесяти лет, считая с 1 января года, следующего за годом, в кот. она была обнародована при условии, что фонограмма была обнародована в течение пятидесяти лет после осущ-ия записи. К наследникам и другим правопреемникам изготовителя фонограммы ИП на фонограмму переходит в пределах оставшейся части сроков, указанных в пункте 1. По истечении срока действия ИП на фонограмму она переходит в общественное достояние. ИП на фонограмму действует на территории РФ в случаях, когда: изготовитель фонограммы явл-ся гражданином РФ или российским юридическим лицом; фонограмма обнародована или ее экземпляры впервые публично распространялись на территории РФ; в иных случаях, предусмотренных международными договорами РФ.
Организацией эфирного или кабельного вещания признается юрлицо, осущ-ее сообщение в эфир или по кабелю радио- или телепередач (совокупности звуков и (или) изображений или их отображений).
Использованием сообщения радио- или телепередачи (вещания) считается: 1) запись сообщения радио- или телепередачи; 2) воспроизведение записи сообщения радио- или телепередачи; 3) распространение сообщения радио- или телепередачи путем продажи либо иного отчуждения оригинала или экземпляров записи сообщения радио- или телепередачи; 4) ретрансляция; 5) доведение сообщения радио- или телепередачи до всеобщего свед-я; 6) публичное исполнение.
Орг-ии эфирного и кабельного вещания осущ-ют свои права с соблюдением прав авторов произведений, прав исполнителей, а в соответствующих случаях - обладателей прав на фонограмму и прав др. организаций эфирного и кабельного вещания на сообщения радио- и телепередач. 1. ИП на сообщение радио- или телепередачи действует в течение 50лет, считая с 1 января года, следующего за годом, в кот. имело место сообщение радио- или телепередачи в эфир или по кабелю. 2. К правопреемникам орг-ии эфирного или кабельного вещания ИП на сообщение радио- или телепередачи переходит в пределах оставшейся части срока, указанного в пункте 1. 3. По истечении срока действия ИП на сообщение радио- или телепередачи оно переходит в общественное достояние. ИП на сообщение радио- или телепередачи действует на территории РФ, если орг-ия эфирного или кабельного вещания имеет место нахождения на территории РФ и осуществляет сообщение с помощью передатчиков, расположенных на территории РФ, а также в иных случаях, предусмотренных международными договорами.
Изготовителем базы данных признается лицо, организовавшее создание базы данных и работу по сбору, обработке и расположению сост. ее материалов. При отсутствии доказательств иного изготовителем базы данных признается гражданин или юрлицо, имя или наименование кот. указано обычным образом на экземпляре базы данных и (или) его упаковке. Изготовителю базы данных принадлежат: ИП изготовителя базы данных; право на указание на экземплярах базы данных и (или) их упаковках своего имени или наименования. ИП изготовителя базы данных возникает в момент завершения ее создания и действует в течение 15лет, считая с 1 января года, следующего за годом ее создания. ИП изготовителя базы данных, обнародованной в указанный период, действует в течение пятнадцати лет, считая с 1 января года, следующего за годом ее обнародования. Сроки возобновляются при каждом обновлении базы данных. ИП изготовителя базы данных действует на территории РФ в случаях, когда: изготовитель базы данных явл-ся гражданином РФ или российским юридическим лицом; изготовитель базы данных явл-ся иностранным гражданином или иностранным юридическим лицом при условии, что законодательством соотв. иностранного государства предоставляется на его территории охрана исключительному праву изготовителя базы данных, изготовителем которой явл-ся гражданин РФ или российское юрлицо; в иных случаях, предусмотренных международными договорами. Если изготовитель базы данных явл-ся лицом без гражданства, в зависимости от того, имеет это лицо место жительства на территории РФ или иностранного государства, соответственно применяются правила пункта 1, относящиеся к гражданам РФ или иностранным гражданам.
Право публикатора на произведение науки, литературы или искусства Публикатором признается гражданин, кот. правомерно обнародовал или организовал обнародование произведения науки, литературы или искусства, ранее не обнародованного и перешедшего в общественное достояние либо находящегося в общественном достоянии в силу того, что оно не охранялось авторским правом. Права публикатора распространяются на произведения, кот. независимо от времени их создания могли быть признаны объектами авторского права. Положения, предусмотренные настоящим параграфом, не распространяются на произведения, находящиеся в гос. и муниципальных архивах. Публикатору принадлежат: 1) ИП публикатора на обнародованное им произведение; 2) право на указание своего имени на экземплярах обнародованного им произведения и в иных случаях его использования, в тч при переводе или другой переработке произведения. Публикатор в течение срока действия ИП публикатора на произведение обладает правом неприкосновенности произведения (базы данных) и защите произведения от искажения.
ИП публикатора на произведение возникает в момент обнародования этого произведения и действует в течение 25 лет, считая с 1 января года, следующего за годом его обнародования. 1. ИП публикатора распространяется на произведение: обнародованное на территории РФ, независимо от гражданства публикатора; обнародованное за пределами территории РФ гражданином РФ; обнародованное за пределами территории РФ иностранным гражданином или лицом без гражданства, при условии, что законодательством иностранного государства, в кот. обнародовано произведение, предоставляется на его территории охрана исключительному праву публикатора, являющегося гражданином РФ; в иных случаях, предусмотренных международными договорами.
Знак правовой охраны смежных прав:
Изготовитель фонограммы и исполнитель, а также иной обладатель ИП на фонограмму или исполнение вправе для оповещения о принадлежащем ему исключительном праве использовать знак охраны смежных прав, кот. помещается на каждом оригинале или экземпляре фонограммы и (или) на каждом содержащем ее футляре и состоит из трех эл-тов - латинской буквы "P" в окружности, имени или наименования обладателя ИП, года первого опубликования фонограммы.
Орг-ии, осущ-ие коллективное упр-ие авторскими и смежными правами и правовые основы: Авторы, исполнители, изготовители фонограмм и иные обладатели авторских и смежных прав могут создавать основанные на членстве некоммерческие орг-ии по управлению правами на коллективной основе. Создание таких организаций не препятствует осущ-ию представительства обладателей авторских и смежных прав другими юр. лицами и гражданами. Основанием полномочий орг-ии по управлению правами на коллективной основе явл-ся договор о передаче полномочий по управлению правами, заключаемый такой организацией с правообладателем в письменной форме. Указанный договор может быть заключен с правообладателями, являющимися членами такой орг-ии, и с правообладателями, не являющимися ее членами. При этом орг-ия по управлению правами на коллективной основе обязана принять на себя упр-ие этими правами, если упр-ие такой категорией прав относится к уставной деят-ти этой орг-ии. Основанием полномочий орг-ии по управлению правами на коллективной основе может быть также договор с другой организацией, в тч иностранной, управляющей правами на коллективной основе.
3. 7. Правовое регулирование отношений в сфере патентного права
Патентные права - интеллектуальные права на изобретения, полезные модели и промышленные образцы. Автором изобретения, полезной модели или промышленного образца признается гражданин, творческим трудом кот. создан соотв. результат интел-ой деят-ти. Лицо, указанное в качестве автора в заявке на выдачу патента считается автором изобретения, если не доказано иное.
Граждане, создавшие изобретение, полезную модель или промышленный образец совместным творческим трудом, признаются соавторами. Каждый из соавторов вправе использовать изобретение, полезную модель или промышленный образец по своему усмотрению, если соглашением между ними не предусмотрено иное.
Пате?нт -- охранный док-т, удостоверяющий ИП, авторство и приоритет изобретения, полезной модели либо промышленного образца. В качестве изобретения охраняется техническое решение в любой области, относящееся к продукту (в частности, уст-тву, веществу, штамму микроорганизма, культуре клеток) или способу. Изобретению предоставляется правовая охрана, если оно явл-ся новым, имеет изобретательский уровень и промышленно применимо. В качестве полезной модели охраняется техническое решение, относящееся к уст-тву. Полезной модели предоставляется правовая охрана, если она явл-ся новой и промышленно применимой. В качестве промышленного образца охраняется художественно-конструкторское решение изделия промышленного или кустарно-ремесленного производства, определяющее его внешний вид. Промышленному образцу предоставляется правовая охрана, если по своим существенным признакам он явл-ся новым и оригинальным. Право авторства неотчуждаемо и непередаваемо, в тч при передаче другому лицу или переходе к нему ИП на изобретение, полезную модель или промышленный образец и при предоставлении другому лицу права его использования. Право на получение патента первоначально принадлежит автору. Право может перейти к другому лицу (правопреемнику) или быть ему передано в случаях и по основаниям, кот. установлены законом. Договор об отчуждении права на получение патента дб заключен в письменной форме. Патентообладателю принадлежит ИП использования изобретения, полезной модели или промышленного образца любым не противоречащим закону способом. Патентообладатель может распоряжаться ИП. Использованием изобретения, полезной модели или промышленного образца считается, в частности: ввоз на территорию РФ, изготовление, применение, предложение о продаже, продажа, иное введение в гражданский оборот или хранение для этих целей продукта, в кот. использованы изобретение или полезная модель, либо изделия, в кот. использован промышленный образец.
Срок действия ИП и удостоверяющего это право патента исчисляется со дня подачи первоначальной заявки на выдачу патента в фед. орган исполнительной власти по интел-ой собственности и при условии соблюдения требований, установленных ГК РФ, составляет: двадцать лет (+ 15 лет) - для изобретений; десять лет (+3 года) - для полезных моделей; пятнадцать лет (+10 лет) - для промышленных образцов. Защита ИП, удостоверенного патентом, может быть осуществлена лишь после гос. регистрации изобретения и выдачи патента.
По договору об отчуждении ИП на изобретение одна сторона (патентообладатель) передает или обязуется передать принадлежащее ей ИП на соотв. результат интел-ой деят-ти в полном объеме другой стороне - приобретателю ИП (приобретателю патента). По лицензионному договору одна сторона - патентообладатель (лицензиар) предоставляет или обязуется предоставить другой стороне (лицензиату) удостоверенное патентом право использования изобретения в установленных договором пределах. Патентообладатель может подать в фед. орган исполнительной власти по интел-ой собственности заявление о возможности предоставления любому лицу права использования изобретения (открытой лицензии). Договор об отчуждении патента, лицензионный договор, а также др. договоры, поср-твом кот. осущ-ся распоряжение ИП заключаются в письменной форме и подлежат гос. регистрации в фед-ом органе исполнительной власти по интел-ой собственности. 1. Заявка на выдачу патента на изобретение, полезную модель или промышленный образец подается в фед. орган исполнительной власти по интел-ой собственности лицом, обладающим правом на получение патента в соотв. с ГК. 2. Заявление о выдаче патента на изобретение, полезную модель или промышленный образец представляется на русском языке. Прочие док-ты заявки представляются на русском или другом языке. Если док-ты заявки представлены на другом языке, к заявке прилагается их перевод на русский язык. 3. Заявление о выдаче патента на изобретение, подписывается заявителем, а в случае подачи заявки через патентного поверенного или иного представителя - заявителем или его представителем, подающим заявку. 4. Требования к док-ми заявки на выдачу патента на изобретение устанавливаются на основании ГК фед-ым органом исполнительной власти, осуществляющим нормативно-правовое регулирование в сфере интел-ой собственности. 5. К заявке на выдачу патента на изобретение прилагается док-т, подтверждающий уплату патентной пошлины в установленном размере, или док-т, подтверждающий основания освобождения от уплаты патентной пошлины, либо уменьшения ее размера, либо отсрочки ее уплаты.
ИП на изобретение, полезную модель или промышленный образец признается и охраняется при условии гос. регистрации соответствующих изобретения, полезной модели или промышленного образца, на основании которой фед. орган исполнительной власти по интел-ой собственности выдает патент. На основании решения о выдаче патента фед. орган исполнительной власти по интел-ой собственности вносит изобретение, полезную модель или промышленный образец в соотв. государственный реестр - в Государственный реестр изобретений РФ, Государственный реестр полезных моделей РФ и Государственный реестр промышленных образцов РФ и выдает патент. Фед. орган исполнительной власти по интел-ой собственности публикует в официальном бюллетене свед-я о любых изменениях записей в гос. Реестрах. Подача заявки на выдачу патента на секретное изобретение (заявка на секретное изобретение), рассмотрение такой заявки и обращение с ней осущ-ся с соблюдением законодательства о ГТ. Заявки на секретные изобретения, для кот. установлена степень секретности "особой важности" или "совершенно секретно", а также на секретные изобретения, кот. относятся к ср-вам вооружения и военной техники и к методам и ср-вам в области разведывательной, контрразведывательной и оперативно-розыскной деят-ти и для кот. установлена степень секретности "секретно", подаются в зависимости от их тематической принадлежности в уполномоченные Правительством РФ фед. органы исполнительной власти, Гос. корпорацию по атомной энергии "Росатом" (уполномоченные органы). Заявки на иные секретные изобретения подаются в фед. орган исполнительной власти по интел-ой собственности. Если при рассмотрении фед-ым органом исполнительной власти по интел-ой собственности заявки на изобретение будет установлено, что содержащиеся в ней свед-я составляют ГТ, такая заявка засекречивается в порядке, установленном законодательством о ГТ, и считается заявкой на секретное изобретение. Засекречивание заявки, поданной иностранным гражданином или иностранным юридическим лицом, не допускается. Публикация сведений о такой заявке в этом случае не производится. Гос. регистрация секретного изобретения в Государственном реестре изобретений РФ и выдача патента на секретное изобретение осущ-ся фед-ым органом исполнительной власти по интел-ой собственности или, если решение о выдаче патента на секретное изобретение принято уполномоченным органом, - этим органом. Уполномоченный орган, зарегистрировавший секретное изобретение и выдавший патент на секретное изобретение, уведомляет об этом фед. орган исполнительной власти по интел-ой собственности.
Договор об отчуждении патента, а также лицензионный договор на использование секретного изобретения подлежит регистрации в органе, выдавшем патент на секретное изобретение, или его правопреемнике, а при отсутствии правопреемника - в фед-ом органе исполнительной власти по интел-ой собственности. В отношении секретного изобретения не допускаются публичное предложение заключить договор об отчуждении патента и заявление об открытой лицензии. Споры, связанные с защитой патентных прав, рассматриваются судом. Патентообладатель вправе потребовать публикации в официальном бюллетене фед-го органа исполнительной власти по интел-ой собственности решения суда о неправомерном использовании изобретения, полезной модели, промышленного образца или об ином нарушении его прав.
3. 8. Права на ср-ва индивидуализации юрлиц и ИП, а также на ср-ва индивидуализации производимых ими товаров, выполняемых работ или оказываемых услуг.
Товарный знак - это обозначение, которое служит для индивидуализации товара или услуги, а также защищает их от поделки. Существует несколько видов товарного знака: Словесный товарный знак (единица языка, словосочетание), Изобразительный товарный знак (изображения предметов, живых существ), Комбинированный товарный знак (комбинация различных эл-тов), Объемный товарный знак (трехмерные фигуры), Звуковой товарный знак (звук, сочетание звуков и т. д. )
Обладателем ИП на товарный знак может быть юрлицо или ИП. На товарный знак (обозначение), служащее для индивидуализации товаров юрлиц или ИП, признается ИП, удостоверяемое свидетельством на товарный знак. Свидетельство на товарный знак удостоверяет приоритет товарного знака и ИП на товарный знак в отношении товаров, указанных в свидетельстве.
Гос. регистрация товарного знака (ТЗ) осущ-ся фед-ым органом исполнительной власти по интел-ой собственности в Государственном реестре ТЗ и знаков обслуживания РФ. На основании решения о гос. регистрации ТЗ фед. орган исполнительной власти по интел-ой собственности в течение месяца со дня получения док-та об уплате пошлины за гос. регистрацию ТЗ и за выдачу свидетельства на него осуществляет гос. регистрацию ТЗ в Государственном реестре ТЗ. В Государственный реестр ТЗ вносятся ТЗ, свед-я о правообладателе, дата приоритета ТЗ, перечень товаров, для индивидуализации кот. зарегистрирован ТЗ, дата его гос. регистрации, др. свед-я, относящиеся к регистрации ТЗ, а также послед-щие изменения этих сведений.
Отказ в регистрации: Не допускается гос. регистрация в качестве ТЗ обозначений, не обладающих различительной способностью или состоящих только из эл-тов: 1) вошедших во всеобщее употребление для обозначения товаров опред. вида; 2) являющихся общепринятыми символами и терминами; 3) характеризующих товары, в тч указывающих на их вид, качество, кол-во, свойство, назначение, ценность, а также на время, место и способ их производства или сбыта; 4) представляющих собой форму товаров, кот. определяется исключительно или главным образом свойством либо назначением товаров. Указанные эл-ты могут быть включены в ТЗ как неохраняемые эл-ты, если они не занимают в нем доминирующего положения. В соотв. с международным договором РФ не допускается гос. регистрация в качестве ТЗ обозначений, состоящих только из эл-тов, представляющих собой: 1) гос. гербы, флаги и др. гос. символы и знаки; 2) сокращенные или полные наименования международных и межправительственных организаций, их гербы, флаги, др. символы и знаки; 3) официальные контрольные, гарантийные или пробирные клейма, печати, награды и др. знаки отличия; 4) обозначения, сходные до степени смешения с эл-тами, указанными в подпунктах 1-3 настоящего пункта.
Такие эл-ты могут быть включены в ТЗ как неохраняемые эл-ты, если на это имеется согласие соотв. компетентного органа. Не допускается гос. регистрация в качестве ТЗ обозначений, представляющих собой или содержащих эл-ты: 1) являющиеся ложными или способными ввести в заблуждение потребителя относительно товара либо его изготовителя; 2) противоречащие общественным интересам, принципам гуманности и морали.
Не допускается гос. регистрация в качестве ТЗ обозначений, тождественных или сходных до степени смешения с официальными наименованиями и изображениями особо ценных объектов культурного наследия народов РФ либо объектов всемирного культурного или природного наследия, а также с изображениями культурных ценностей, хранящихся в коллекциях, собраниях и фондах, если регистрация испрашивается на имя лиц, не являющихся их собственниками, без согласия собственников или лиц, уполномоченных собственниками, на регистрацию таких обозначений в качестве ТЗ.
Не могут быть зарегистрированы в качестве ТЗ обозначения, тождественные или сходные до степени смешения с: 1) товарными знаками др. лиц, заявленными на регистрацию (статья 1492) в отношении однородных товаров и имеющими более ранний приоритет, если заявка на гос. регистрацию ТЗ не отозвана или не признана отозванной; 2) ТЗ др. лиц, охраняемыми в РФ, в тч в соотв. с международным договором РФ, в отношении однородных товаров и имеющими более ранний приоритет; 3) ТЗ др. лиц, признанными в установленном 4 частью ГК РФ порядке общеизвестными в РФ ТЗ, в отношении однородных товаров.
Регистрация в качестве ТЗ в отношении однородных товаров обозначения, сходного до степени смешения с каким-либо из ТЗ, указанных в настоящем пункте, допускается только с согласия правообладателя. Не могут быть в отношении однородных товаров зарегистрированы в качестве ТЗ обозначения, тождественные или сходные до степени смешения с охраняемым в РФ фирменным наименованием или коммерческим обозначением (отдельными эл-тами таких наименования или обозначения) либо с наименованием селекционного достижения, зарегистрированного в Государственном реестре охраняемых селекционных достижений, права на кот. в РФ возникли у иных лиц ранее даты приоритета регистрируемого ТЗ.
Не могут быть зарегистрированы в качестве ТЗ обозначения, тождественные: 1) названию известного в РФ на дату подачи заявки на гос. регистрацию ТЗ произведения науки, литературы или искусства, персонажу или цитате из такого произведения, произведению искусства или его фрагменту, без согласия правообладателя, если права на соответствующее произведение возникли ранее даты приоритета регистрируемого ТЗ; 2) имени, псевдониму или производному от них обозначению, портрету или факсимиле известного в РФ на дату подачи заявки лица, без согласия этого лица или его наследника; 3) промышленному образцу, знаку соответствия, доменному имени, права на кот. возникли ранее даты приоритета регистрируемого ТЗ.
Использование ТЗ и распоряжение ИП на ТЗ: 1. Гражданин или юрлицо, обладающие ИП на результат интел-ой деят-ти или на ср-тво индивидуализации (правообладатель), вправе использовать такой результат или такое ср-тво по своему усмотрению любым не противоречащим закону способом. ИП на результат интел-ой деят-ти или на ср-тво индивидуализации (кроме ИП на фирменное наименование) может принадлежать одному лицу или нескольким лицам совместно. 2. ИП на ТЗ может быть осущ-но для индивидуализации товаров, работ или услуг, в отношении кот. ТЗ зарегистрирован, в частности путем размещения ТЗ: на товарах, в тч на этикетках, упаковках товаров, кот. производятся, предлагаются к продаже, продаются, демонстрируются на выставках и ярмарках или иным образом вводятся в гражданский оборот; при выполнении работ, оказании услуг; на док-тации, связанной с введением товаров в гражданский оборот; в предложениях о продаже товаров, о выполнении работ, об оказании услуг, а также в объявлениях, на вывесках и в рекламе; в сети "Интернет", в тч в доменном имени и при др. способах адресации. 3. Никто не вправе использовать без разрешения правообладателя сходные с его товарным знаком обозначения в отношении товаров, для индивидуализации кот. ТЗ зарегистрирован, или однородных товаров, если в результате такого использования возникнет вероятность смешения.
Последствия неиспользования ТЗ: 1. Правовая охрана ТЗ может быть прекращена досрочно в отношении всех товаров или части товаров вследствие неиспользования ТЗ непрерывно в течение любых трех лет после его гос. регистрации. Заявление о досрочном прекращении правовой охраны ТЗ вследствие его неиспользования может быть подано заинтересованным лицом в палату по патентным спорам по истечении указанных трех лет при условии, что вплоть до подачи такого заявления ТЗ не использовался. 2. Использование ТЗ не связано непосред-но с введением товара в гражданский оборот, а также использование ТЗ с изменением его отдельных эл-тов, не влияющим на его различительную способность и не ограничивающим охрану, предоставленную товарному знаку. 3. Бремя доказывания использования ТЗ лежит на правообладателе. При решении вопроса о досрочном прекращении правовой охраны ТЗ вследствие его неиспользования могут быть приняты во внимание представленные правообладателем доказательства того, что ТЗ не использовался по независящим от него обстоятельствам. 4. Прекращение правовой охраны ТЗ означает прекращение ИП на этот ТЗ.
Понятие общеизвестного ТЗ и особенности правовой охраны и использования такого знака: Общеизвестный ТЗ -- это обозначение товара, получившее широкую известность в РФ в результате интенсивного его использования. По решению фед-го органа исполнительной власти по интел-ой собственности могут быть признаны общеизвестным в РФ товарным знаком, если этот ТЗ или это обозначение в результате интенсивного использования стали на указанную в заявлении дату широко известны в РФ среди соответствующих потребителей в отношении товаров заявителя.
Правовая охрана общеизвестного ТЗ: 1. Правовая охрана предоставляется общеизвестному ТЗ на основании решения фед-го органа исполнительной власти по интел-ой собственности. 2. ТЗ, признанный общеизвестным, вносится фед-ым органом исполнительной власти по интел-ой собственности в Перечень общеизвестных в РФТЗ (Перечень общеизвестных ТЗ). 3. Свидетельство на общеизвестный ТЗ выдается фед-ым органом исполнительной власти по интел-ой собственности в течение месяца со дня внесения ТЗ в Перечень общеизвестных ТЗ. 4. Свед-я, относящиеся к общеизвестному товарному знаку, публикуются фед-ым органом исполнительной власти по интел-ой собственности в официальном бюллетене незамедлительно после их внесения в Перечень общеизвестных ТЗ.
Защита права на ТЗ. Ответственность за незаконное использование ТЗ: 1. Товары, этикетки, упаковки товаров, на кот. незаконно размещены ТЗ или сходное с ним до степени смешения обозначение, явл-ся контрафактными. 2. Правообладатель вправе требовать изъятия из оборота и уничтожения за счет нарушителя контрафактных товаров, этикеток, упаковок товаров, на кот. размещены незаконно используемый ТЗ или сходное с ним до степени смешения обозначение. 3. Лицо, нарушившее ИП на ТЗ при выполнении работ или оказании услуг, обязано удалить ТЗ или сходное с ним до степени смешения обозначение с материалов, кот. и сопровождается выполнение таких работ или оказание услуг, в тч с док-тации, рекламы, вывесок. 4. Правообладатель вправе требовать по своему выбору от нарушителя вместо возмещения убытков выплаты компенсации: в размере от десяти тысяч до пяти миллионов рублей, определяемом по усмотрению суда исходя из характера нарушения; в двукратном размере стоимости товаров, на кот. незаконно размещен ТЗ, или в двукратном размере стоимости права использования ТЗ, определяемой исходя из цены, кот. при сравнимых обстоятельствах обычно взимается за правомерное использование ТЗ. 5. Лицо, производящее предупредительную маркировку по отношению к не зарегистрированному в РФ ТЗ, несет ответственность в порядке, предусмотренном законодательством РФ.
4. 1. Орг-ия работы по определению состава, засекречиванию и рассекречиванию конф инфы.
Засекречивание И - это совокупность организационно-правовых мер, регламентированных законами и другими нормативными актами, по введению ограничений на распространение и использование защищаемой И в интересах ее собственника. Отнесение сведений к ГТ осущ-ся в соотв. с Перечнем сведений, сост. ГТ, определяемым Законом о ГТ, рукями органов гос. власти в соотв. с Перечнем должностных лиц, наделений полномочиями по отнесению св.. к ГТ. Органами гос. власти, рук-ли кот. наделены полномочиями по отнесению св. к ГТ, разрабатываются развернутые перечни св., подлежащих засекречиванию. В эти перечни включаются - св., полномочиями по распоряжению кот. и наделены указанные органы, устанавливается степень их секретности, затем перечень утверждается соотв. рук-лями органов гос. власти. Целесообразность засекречивания таких перечней определяется их содержанием. МВК (Межведомственная комиссия): Формирует Перечень св., отнесенных к ГТ. При необходимости проводит межведомственную экспертизу правомерности отнесения св. к ГТ. Согласовывает распределение полномочий по распоряжению ГТ между министерствами, ведомствами и др. органами гос. власти. Готовит Перечень для утверждения Президентом и к опубликованию, представляет его на рассмотрение Правительства РФ. Для разработки проекта развернутого перечня создается комиссия, в составе кот. включаются компетентные спецты. В ходе подготовки этого перечня, экспертная комиссия проводит анализ всех видов деят-ти соот-их органов гос. власти, подведомственных предприятий с целью определения сведений, распространение кот. может нанести ущерб. Обоснование необходимости отнесения св. к ГТ с указанием грифа осущ-ся собственниками этих сведений и оформляется в виде предложений для включения в проект развернутого перечня. Проект перечня представляется на утверждение рук-лю органа гос. власти, наделенного полномочиями по отнесению св. к ГТ. После утверждения Перечень направляется МВК. После рассмотрения и утверждения, Перечень доводится до заинтересованных предприятий. Пересмотр - раз в 5 лет. По истечении установленных сроков засекречивания И и в случае понижения степени секретности И или отмены решения об отнесении ее к ГТ должностные лица, осущ-ие засекречивание И, обязаны обеспечить изменение грифа секретности или рассекречивание И. Рассекречивание сведений и их носителей - снятие ранее введенных (в предусмотренном в законе о ГТ порядке) ограничений на распространение св., сост. ГТ, и на доступ к их носителям. Основаниями для рассекречивания св. явл-ся: взятие на себя РФ международных обязательств по открытому обмену свед-ями, состав-ими в РФ ГТ; изменение объективных обстоятельств, вследствие кот. дальнейшая защита сведений явл-ся нецелесообразной. Срок засекречивания св, сост. ГТ, не должен превышать 30 лет. В исключительных случаях этот срок может быть продлен по заключению МВК.
4. 2. Лицензирование деят-ти
Лицензирование - это процесс выдачи спец. разрешений на осущ-е каких-либо видов деят-ти. Лицензия - спец.разрешение на осущ-е конкретного вида деят-ти при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юрлицу или ИП. Лицензирование в области ЗИ - деят-ть, заключающаяся в передаче или получении прав на проведение работ в области ЗИ. Лицензируемый вид деят-ти - вид деят-ти, на осущ-е кот. на территории РФ требуется получение лицензии в соотв. с ФЗ. Основной док-т Положение "О лицензировании деят-ти предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, сост. ГТ, созданием Ср ЗИ, а также с осущ-ем мероприятий и оказанием услуг по защите ГТ" от 15 апреля 1995 г. N 333.
Органы, ведущие лицензионную деят-ть: по допуску предприятий к проведению работ с исп. свед. ГТ: ФСБ РФ и ее территориальные органы; СВР; дающие право проведения работ, связ. с созданием СрЗИ: Федеральная служба по техническому и экспортному контролю (фстэк) и ее территориальные органы; СВР; Мин.обороны; ФСБ РФ.
Лицензии выдаются на основании результатов спец. экспертиз предприятий и гос. аттестации их руководителей, ответственных за защиту сведений, сост. ГТ. Для получения лицензии должны соблюдаться след-щие условия: соблюдение требований законодательных и нормативных актов РФ; наличие подразделения по защите ГТ и необходимого числа спец-о подготовленных сотрудников; наличие на предприятии сертифицированных СрЗИ, соот-их степени секретности. Спец. экспертизы проводятся на основе договора между предприятием и органом, проводящим спец. экспертизу. Расходы относятся на счет предприятия. Спец. экспертиза проводится путем проверки выполнения требований нормативно-методических док-ов по режиму секретности, противодействию иностр. техническим разведкам, ЗИ от утечки по техническим каналам, а также соблюдения др. условий, необходимых для получения лицензии. Цель экспертизы: оценка готовности предприятия к выполнению требований нормативных и законодательных актов РФ по обеспечению защиты сведений, сост. ГТ. На предприятии дб: разграничение доступа к инфе (положение о разрешительной системе доступа); выявление и нейтрализация каналов утечки, включая контроль среды на наличие закладок в тех. ср-вах и программных обеспечениях; обеспечение криптографической ЗИ при хранении, передаче по каналам связи, антивирусная защита и целостность при целенаправленных атаках. Предприятие должно обеспечить: соот-ие производственные помещения; соответствующее оборудование; использование серт-ых автоматизированных систем, обрабатывающих КИ, а также СрЗИ; использование на предприятии серт-ых программ и баз данных.
Орган, уполномоченный на ведение лицензионной деят-ти, принимает решение о выдаче или об отказе в выдаче лицензии в течение 30 дней со дня получения заявления пакетом доков. Для получения лицензии заявитель предоставляет в соотв. орган: заявление о выдаче лицензии; копии учредительных док-ов; копии док-ов, подтверждающих право собственности имущества; справку о постановке на учет в налоговом органе; док-т, подтверждающий уплату гос. пошлины. Предприятие может иметь лицензии на несколько видов деят-ти.
Методические рекомендации по орг-ии и проведению гос. аттестации руководителей предприятий разрабатываются МВК. От гос. аттестации освобождаются руководители предприятий, имеющие диплом по спец-ости, связ. с ЗИ. Перечень указанных учебных заведений утверждается МВК. Органы, уполномоченные на ведение лицензионной деят-ти, приостанавливают действие лицензии или аннулируют ее в случае: предоставления лицензиатом соотв. заявления; обнаружения недостоверных данных в док-тах; нарушения лицензиатом условий действия лицензии; невыполнения лицензиатом предписаний или распоряжений гос. органов; ликвидации предприятия. В случае изменения обстоятельств, повлекших приостановление действия лицензии, действие лицензии может быть возобновлено. Основания для отказа в выдачи лицензии: недостоверная, искаженная инфа; отрицательное заключение экспертизы; отрицательное заключение аттестации руководителя.
4. 3. Порядок серт-ии СрЗИ.
Системы серт-ии создаются ФСТЭК, ФСБ, МинОбороны РФ, СВР в рамках своих компетенций.
Сертификация СрЗИ осущ-ся на основании требований госстандартов, нормативных док-ов.
Координацию работ по орг-ии серт-ии СрЗИ осуществляет МВК по защите ГТ.
В каждой системе серт-ии разрабатываются и согласовываются с МВК положение об этой системе серт-ии, а также перечень СрЗИ, подлежащих серт-ии, и требования, кот. эти ср-ва должны удовлетворять.
Участниками серт-ии СрЗИ явл-ся:
--
фед. орган по серт-ии: создает системы серт-ии; выбирает способ подтверждения соответствия СрЗИ требованиям нормативных док-ов; устанавливает правила аккредитации центральных органов систем серт-ии, органов по серт-ии СрЗИ и испытательных лабораторий; определяет центральный орган для каждой системы серт-ии; выдает серт-ты или лицензии на применение знака соответствия; ведет государственный реестр участников серт-ии и сертифицированных СрЗИ; осуществляет гос. контроль и надзор за соблюдением участниками серт-ии правил серт-ии и за серт-ми ср-ми ЗИ, а также устанавливает порядок инспекционного контроля; рассматривает апелляции по вопросам серт-ии; представляет на гос. регистрацию в Комитет РФ по стандартизации, метрологии и серт-ии системы серт-ии и знак соответствия; устанавливает порядок признания зарубежных серт-ов; приостанавливает или отменяет действие выданных серт-тов.
--
центральный орган системы серт-ии (создаваемый при необходимости) - орган, возглавляющий систему серт-ии однородной продукции; организует работы по формированию системы серт-ии и руководство ею, координирует деят-ть органов по серт-ии СрЗИ и испыт-ых лаб-ий, входящих в систему серт-ии; ведет учет входящих в систему серт-ии органов по серт-ии СрЗИ и испы-ых лаб-ий, выданных и аннулированных серт-тов и лицензий на применение знака соответствия; обеспечивает участников серт-ии инфой о деят-ти системы серт-ии.
--
органы по серт-ии СрЗИ - органы, проводящие серт-ию определенной продукции; серт-ют ср-ва ЗИ, выдают серт-ты и лицензии на применение знака соответствия с представлением копий в фед. органы по серт-ии и ведут их учет; приостанавливают либо отменяют действие выданных ими серт-тов и лицензий на применение знака соответствия; принимают решение о проведении повторной серт-ии при изменениях в технологии изготовления и конструкции (составе) серт-ых СрЗИ; формируют фонд нормативных док-ов, необходимых для серт-ии; представляют изготовителям по их требованию необходимую инфу в пределах своей компетенции.
--
испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
--
изготовители - продавцы, исполнители продукции: производят (реализуют) ср-ва ЗИ только при наличии серт-та; извещают орган по серт-ии, проводивший серт-ию, об изменениях в технологии изготовления и конструкции (составе) сер-ых СрЗИ; маркируют серт-ые ср-ва ЗИ знаком соотв. в порядке, установленном для данной системы серт-ии; указывают в сопроводительной технической док-тации свед-я о серт-ии и нормативных док-тах, кот. ср-ва ЗИ должны соот-ть, а также обеспечивают доведение этой инфы до потребителя; применяют серт-т и знак соответствия, руководствуясь закон-ом РФ и правилами, установленными для данной системы серт-ии; обеспечивают соо-ие СрЗИ требованиям нормативных док-ов по ЗИ; обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих серт-ию и контроль за серт-ем и ср-вами ЗИ; прекращают реализацию СрЗИ при несоотв. их требованиям нормативных док-ов или по истечении срока действия серт-та, а также в случае приостановки действия серт-та или его отмены.
Серт-т соответствия -- док-т, удостоверяющий соот-ие объекта требованиям тех. регламентов, положениям стандартов, сводов правил или условиям договоров.
Знак соответствия -- спец знак, ставящийся на товаре или упаковке товара, показывающий соот-ие этого товара тому или иному стандарту, требованиям серт-ых орг-ий. Изготовитель для получения серт-та направляет в орган по серт-ии СрЗИ заявку на проведение серт-ии Орган по серт-ии СрЗИ в месячный срок после получения заявки направляет изготовителю решение о проведении серт-ии с указанием схемы ее проведения, испыт-ой лаб-ии, осущ-ей испытания СрЗИ, и нормативных док-ов, требованиям кот. должны соот-ть серт-ые ср-ва ЗИ, а при необходимости -- решение о проведении и сроках предварительной проверки производства СрЗИ.
Основными схемами проведения серт-ии СрЗИ явл-ся: для единичных образцов СрЗИ - проведение испытаний этих образцов на соот-ие требованиям по ЗИ; для серийного производства СрЗИ -- проведение типовых испытаний образцов СрЗИ на соот-ие требованиям по ЗИ и последующий инспекционный контроль за стабильностью хар-ик сертифицированных СрЗИ, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по спец-о разработанной программе. Срок действия серт-та не может превышать пяти лет. Фед. орган по серт-ии и органы по серт-ии СрЗИ имеют право приостанавливать или аннулировать действие серт-та в случаях: изменение нормативных и методических док-ов по ЗИ в части требований к ср-вам ЗИ, методам испытаний и контроля; изменение технологии изготовления, конструкции (состава), комплектности СрЗИ и системы контроля их качества; отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осущ-ми гос. контроль и надзор, инспекционный контроль за серт-ей и сертифицир. ср-вами ЗИ. Инспекционный контроль за сертифицир. ср-вами ЗИ осущ-ют органы, проводившие их серт-ию.
4. 4. Порядок допуска и доступа персонала и иных лиц к конф инфе.
Законом РФ "О ГТ" определяются понятия "допуск" и "доступ". Допуск к ГТ - процедура оформления права граждан на доступ к свед-ям, сост. ГТ, а предприятий, учреждений и организаций - на проведение работ с использованием таких сведений. Доступ к свед-ям, сост. ГТ, - санкционированное полномочным должностным лицом ознакомление конкретного лица со свед-ями, сост. ГТ. Право на доступ к конкретным свед-ям, состав-им ГТ, может быть реализовано при помощи разрешительной системы доступа.
Форма допуска - это показатель, к какой степени секретности сведений допущен тот или иной работник. Законом РФ "О ГТ" устанавливаются три формы допуска к ГТ должностных лиц, соот. трем степеням секретности сведений: ОВ, СС, С. Наличие у должностных лиц и граждан допуска к свед-ям более высокой степени секретности явл-ся основанием для допуска их к свед-ям более низкой степени секретности. Основания для отказа в допуске: а) признание гражданина судом недееспособным, ограниченно дееспособным или рецидивистом, нахождение его под судом или следствием, наличие у гражданина неснятой судимости за эти преступления; б) наличие у гражданина медицинских противопоказаний; в) постоянное проживание его самого и (или) его близких родственников за границей; г) выявление в результате проведения проверочных мероприятий действий гражданина, создающих угрозу безопасности РФ; д) уклонение гражданина от проверочных мероприятий и (или) сообщение заведомо ложных анкетных данных.
Прекращение допуска: а) расторжение трудового договора; б) однократное нарушение обязательств, связанных с защитой ГТ; в) возникновения обстоятельств, являющимися основаниями для отказа в допуске. При необходимости переоформления допуска к ГТ гражданину в орг-ии, в которой он работает по совместительству, РСО указанной орг-ии запрашивается по постоянному месту работы карточка, кот. после переоформления допуска возвращается одновременно с запросом о направлении ее дубликата. При этом организацией, в которой гражданин работает постоянно и где хранится карточка, в установленном порядке оформляется новое решение о допуске, а в орган безопасности по месту расположения этой орг-ии направляется уведомление с приложением учетной карточки на допуск, на обороте которой указываются форма и номер допуска, дата окончания проведения проверочных мероприятий, наименование органа безопасности, проводившего проверочные мероприятия, дата решения о допуске гражданина к ГТ, а также адрес и наименование орг-ии, в которую направлен дубликат карточки.
Инструкцией о порядке допуска должностных лиц и граждан РФ к ГТ (утв. Постановлением Правительства РФ от 06. 02. 2010 г. N 63) установлено два порядка оформления, учета и хранения допусков: 1. Порядок, когда допуск обязательно согласовывается с органами безопасности (для 1 и 2 форм). 2. Порядок - без согласования (для 3 формы). Особенности оформления допусков к конф инфе обусловлены прежде всего правом собственности на инфу. Порядок оформления регламентируется организацией - собственником инфы. Основным док-том, регламентирующим разграничение доступа к закрытой инфе, явл-ся Положение "о разрешительной системе доступа". Реализация Положения о разрешительной системе основывается на делегировании руководителем предприятия как единоличного распорядителя секретами части своих полномочий на доступ к конкретным док-ми и свед-ям руководителям более низкого уровня.
Док-тальное оформление каждого выданного руководителем разрешения на доступ может производиться след. способами: - составлением именных списков с указанием в них фио исполнителя, должности, категории док-ов или сведений, кот. ему разрешается пользоваться, списки на право пользования делами и т. п. ); - составлением должностных списков, в кот. указываются должности исполнителей и объем док-ов и сведений, кот. необходимо пользоваться лицам, занимающим ту или иную должность; - заведением карточек-разрешений с указанием в необходимых случаях срока пользования док-ми; - написанием разрешений на самих док-тах (в виде резолюций или др. разрешающих надписей); - указанием в распорядительных доках фамилий лиц и конкретных док-ов, к кот. они дб допущены. Каждое разрешение должно иметь дату его оформления или выдачи. Для лиц, командированных из др. предприятий, доступ к свед-ям, состав-им ГТ, осущ-ся после предъявления ими предписаний на выполнение задания, док-ов, удостоверяющих личность, и справок о допуске по соотв. форме.
4. 5. Орг-ия внутриобъектового и пропускного режимов
Основная цель охраны - обеспечение безопасности охраняемых объектов путем предупреждения и ликвидации различного рода угроз. Задачи охраны можно подразделить на 2 группы: 1. Аналитические и предупредительные, 2. Процедурно-отражательные, включающие конкретные действия по ликвидации реальных угроз. Виды охраны: охрана с помощью ТС; охрана путем выставления постов; комбинированная охрана.
В организационном плане задачи охраны могут решаться силами СБ орг-ии, частными охранными агентствами, вневедомственной охраной, а также в различном сочетании. В основе разработки системы охраны и орг-ии ее функ-ия лежит принцип создания последовательных рубежей безопасности. Взаимосвязь и взаимодействие сил и ср-тв охраны, сконцентрированных на различных рубежах, позволяют обнаружить угрозу, воспрепятствовать ее распространению и отразить или ликвидировать на одном из рубежей.
Пропускной режим - совокупность правил, регламентирующих порядок входа (выхода) лиц, въезда (выезда) транспортных ср-тв на (с) территорию учреждения, вноса (выноса), ввоза (вывоза) (конф) док-ов и изделий, а также мероприятия по реализации этих правил. Пропускной режим предназначен для того, чтобы исключить: - проникновение посторонних лиц на охраняемую территорию учреждения и в режимные помещения; - посещение режимных помещений без служ. необходимости работниками учреждения и командированными лицами; - внос (ввоз) на территорию учреждения личных визуальных ср-тв наблюдения, кино- и фотоаппаратуры, радиотехнической и др. аппаратуры; - вынос (вывоз) с территории учреждения док-ов и изделий без соотв. разрешения; - хищение док-ов и изделий.
Пропускной режим предусматривает: - организацию контрольно-пропускных пунктов и постов с пропускными функциями на входах (выходах) на режимные территории, в режимные здания, сооружения и помещения, создание бюро пропусков; - введение системы постоянных, временных и разовых пропусков, а также мат-ых пропусков; - применение спец. шифров и вкладышей, дающих право прохода на опред. режимные территории, в режимные здания, сооружения и помещения; - определение должностных лиц, имеющих право давать разрешение на выдачу соотв. вида пропуска, вкладыша, на постановку шифров; - определение перечня предметов, запрещенных к проносу (провозу) на режимную территорию; - охрану режимных территорий, зданий, помещений, хранилищ док-ов и изделий; - пропуск командированных лиц на режимную территорию, в помещения, где ведутся работы, с письменного разрешения заместителя руководителя учреждения по режиму или начальника РСО при наличии предписания на выполнение задания и соотв. справки о допуске.
Внутриобъектовый режим - совокупность организационно-технических мероприятий и правил, направленных на обеспечение режима в учреждениях (на предприятиях). Внутри объектовый режим предусматривает: - соблюдение установленного порядка подбора, изучения и оформления лиц для работы в учреждениях; - ограничение круга лиц, допускаемых к закрытым работам, док-ми и изделиям, определение круга должностных лиц учреждения, имеющих право разрешать ознакомление с той или иной категорией док-ов и сведений, доведение до исполнителей только такого объема сведений, кот. им необходим для выполнения служебных заданий; - выделение соответствующих помещений для проведения работ и осущ-е контроля за допуском посетителей в эти помещения, исключение возможности бесконтрольного доступа в них; - проведение мероприятий по предотвращению утечки закрытой инфы в процессе проведения совещаний, конференций, выставок, а также при посещении объектов посетителями, в тч иностранцами; - осущ-е контроля за применением ТС, используемых для передачи, приема, обработки и размножения закрытой инфы, а также за подготовкой предназначенных для проведения закрытых мероприятий помещений, чтобы они удовлетворяли требованиям режима.
Автоматизированные системы обеспечения контрольно-пропускного режима можно разделить на два вида: атрибутные и биометрические. В системах первого вида контроля осущ-ся проверка наличия у пользователя легального атрибута, пароля или идентификационной карты. В биометрических системах сверяется подлинность путем измерения и сопоставления с контрольным эталоном какого-либо биопараметра. Атрибутные идентификационные карточки делятся на: магнитные; инфракрасные; карточки ВИГАНД; штриховые, радиопередающие. Пропуска могут быть постоянные, временные (до 3 месяцев), разовые для посетителей, а также мат-ые - для ввоза-вывоза мат-ых ценностей. На удостоверениях и пропусках проставляются печати, цифры и знаки, определяющие зоны доступа, период их действия, право проноса портфелей, кейсов, папок. Учет бланков удостоверений и пропусков осущ. бюро пропусков. Полная замена удостоверений и пропусков производится, как правило, через 3-5 лет. Через 2-3 года производится перерегистрация с проставлением соотв. отметки.
4. 6. Организационные требования к режимным помещениям.
Помещение явл-ся режимным, если оно отвечает режимным требованиям и обеспечивает сохранность проведения работ. К режимным помещениям относятся: Помещения режимно-секретного отдела (РСО), СБ; Закрытые архивы, библиотеки; Типографии; Лаборатории, бюро; Помещения, где сосредоточена техника; помещения обработки технической док-тации. Перед началом эксплуатации помещение должна обследовать комиссия, в которую входят технические специалисты, сотрудники СБ или РСО (или из лицензированной фирмы). Далее комиссия передает акт о пригодности эксплуатации помещения в СБ или РСО. Размещение режимных помещений и их оборудование должно соответствовать нормам и исключать возможность бесконтрольного проникновения и гарантировать сохранность док-ов и изделий.
Орг-ия хранения конф док-ов предполагает, что помещения подразделения конф делопроизводства, должны соот. требованиям технической безопасности, противопожарной безопасности, а также установленным санитарным нормам. Эти помещения должны размещаться не на первом и последнем этажах зданий, окна -- выходить на внутреннюю территорию объекта. Право прохода в такие помещения имеют руководитель орг-ии и сотрудники, имеющие прямое отношение к обработке и хранению конф док-ов. Лица, обеспечивающие техническое и бытовое обслуживание, допускаются в эти помещения только в присутствии сотрудников подразделения конф делопроизводства. Окна и двери помещений должны иметь надежные ср-ва защиты (сигнализация, связаная с дежурным постом СБ (охраны), датчики движения. Кодовые замки). По окончании рабочего дня двери необходимо не только запирать, но и опечатывать номерной металлической печатью подразделения КД. Сдачу под охрану и вскрытие помещений производят ответственные за эти помещения сотрудники предприятия на основании утвержденных руководителем предприятия списков этих сотрудников с образцами их подписей. Списки находятся в службе охраны или у дежурного по предприятию. Сотрудники предприятия, кот. предоставлено право вскрытия, сдачи под охрану и опечатывания помещений, отвечают за соблюдение в этих помещениях установленных требований режима секретности. Перед отпиранием двери, если обнаружены попытки проникновения в помещение - поставить в известность СБ и доложить руководителю орг-ии. Для выдачи конф док-ов исполнителям помещения должны внутри отгораживаться барьером или оборудоваться спец-ыми окошками, не выходящими в общий коридор. Выдача конф док-ов может производиться только исполнителям, имеющим санкц. доступ к этим док-м, и только под роспись в учетных формах.
Конф док-ы должны храниться в сейфах или мет. шкафах подразделения КД, кот. по окончании рабочего дня запираются и опечатываются. Работать с док-ми на рабочих местах - хранение в спец. портфелях, имеющих приспособление для опечатывания. Сдаются в подразделение КД и хранятся на металлических стеллажах. Ключи от сейфа, спецпортфель и номерная печать выдаются исполнителю под роспись в лицевом счете (журнале учета). В случае утраты ключей - ставятся в известность руководители орг-ии и СБ - немедленная замена замков.
Для вскрытия помещений без указанных лиц назначается комиссия в составе не менее двух человек, кот. составляет акт о вскрытии с указанием в нем должностей и фамилий лиц, вскрывших помещения, номера помещения, времени и причины вскрытия, номеров печатей, кот. и ранее были опечатаны и вновь опечатаны помещения. Сейфы и шкафы, ключи от них должны учитываться подразделением КД по журналу учета хранилищ и ключей Ежегодно должна проводиться проверка фактического наличия ключей от хранилищ и номерных печатей исполнителей. Должностные лица, кот. разрешено в нерабочее время хранить конф док-ты в личных сейфах, по окончании рабочего дня помещают док-ты в сейф, опечатывают его и сдают помещение под охрану (с соотв. записями в журнале передачи под охрану помещений и пеналов с ключами). Подразделение КД обязано осуществлять периодический контроль за порядком хранения док-ов в служебных комнатах исполнителей и обращения с ними. Требования к режиму обращения с конфи док-ми дб закреплены в "Положении по обеспечению сохранности КТ орг-ии". Эти требования должны доводиться под роспись до каждого сотрудника, допущенного к работе с конф док-ми. Порядок приема-сдачи под охрану режимных помещений определяется инструкцией, спец-о разрабатываемой СБ (режимно-секретным подразделением) и утверждаемой руководителем предприятия.
4. 7. Организационная защита инфы в процессе проведения совещаний и переговоров по конф вопросам.
Необходимо получить разрешение руководителя на совещание (переговоры). Руководителем заинтересованного подразделения составляется докладная записка на имя руководителя (он назначает должностное лицо, кот. поручается подготовка такого совещания). В докладную записку включаются: тематика совещания и основания для его проведения; перечень конф вопросов; сроки проведения; место; список участвующих; список ответственных. Докладная записка может иметь гриф конф-ти. В организацию, с которой предполагается проведение переговоров, направляется спец.письмо (приглашение) (имеет гриф конф-ти по соотв. виду тайны). Приглашение лиц, не являющихся сотрудниками, разрешается только в случае необходимости их личного участия в обсуждении конкретного вопроса (эксперты, консультанты) (предупреждаются об ответственности и дают письменное обязательство). У сотрудников дб доступ к конф И, кот. будет на совещании.
В процессе подготовки и согласования всех вопросов совещания составляются и утверждаются док-ты: программа проведения совещания; список участников по каждому вопросу повестки дня; список мат-о-технического обеспечения и ответственных за него лиц.
Чем выше ценность И и чем меньше участников задействовано в обсуждении вопроса, тем позднее вопрос ставится на повестку дня. Любое совещание или переговоры по конф вопросам проводятся только в спец-ом (выделенном) помещении, оборудованном ср-вами технической ЗИ. Помещение аттестовано, технические ср-ва сертифицированы.
Контроль за проходом участников в помещение.
Сотрудник СБ осуществляет перс. контроль прохождения участников и напоминает о запрете проноса и использования аппаратуры (сдача на временное хранение и возврат после). Перед началом все предупреждаются о необходимости сохранения конф И. Выдаются заранее подготовленные блокноты, тетради для рабочих записей. По окончании носители для ведения записей, сдаются сотруднику подразделения КД и в орг-ии участников данного мероприятия. Невостребованные носители уничтожаются в устан. порядке. Аудио- и видеозапись, фотографирование конф совещаний ведется только по письменному разрешению лица, давшего согласие на проведение совещания и осущ-ся спец-о назначенным сотрудником орг-ии на учтенных носителях. Участники, замеченные в ведении несанкционированных действий, лишаются права дальнейшего присутствия и составляется акт. Носитель несанкционированно записанной И изымается для проведения внутреннего расследования и уничтожается на нем И. По окончании помещение осматривается сотрудником СБ. При обнаружении неучтенных носителей, несанкционированных ТС - докладывается руководителю орг-ии и принимаются меры для предотвращения возможных негативных последствий. Спец-о назначенный сотрудник ведет протокол совещания, в дальнейшем утверждается руководителем и имеет соотв. гриф конф-ти. Подлежит учету и хранению в подразделении КД. Док-ты, принятые на совещании, оформляются, подписываются и учитываются в соотв. с требованиями по работе с конф док-ми. Направление этих док-ов орг-иям, принявшим участие осущ-ся порядком, установленным для конф. док-ов.
4. 8. Организационная защита инфы в процессе издательской, рекламной и выставочной деят-ти.
Задачи: - определение объема и состава сведений огр. доступа, кот. орг-ия вынуждена по различным причинам предавать огласке; - установление порядка оформления разрешения на оглашение сведений огр. доступа; - выработка конкретных мер по ЗИ в процессе издат., рекламной и выст. деят-ти с учетом специфики каждого из видов деят-ти; - реализация треб. режима ЗИ и контроль их выполнения.
Требования: 1. Оценка материала с точки зрения уязвимости, связанной, в тч и с возможностью агрегирования, т.е. получения полной инфы путем ее сбора из различных источников. Материалы должны оцениваться также с точки зрения срока жизни коммерческой, а возможно и ГТ, и целесообразности. В этой связи, требованиями по ЗИ явл-ся: - оглашение инфы огр. доступа должно осущ-ся только в случае действительной необходимости и целесообразности; - если подготовка публикации или рекламного сообщения невозможна без полного или частичного разглашения защищаемой инфы, то ее необходимо раздробить, т.е. разобщить во времени и пространстве (по видам и ср-вам рекламы, различным ср-вам массовой инфы, авторам и т. д. ).