Loclay. 2012-v02-Программа Государственного Междисциплинарного Экзамена по специальности 090103

1. 1 Инфа как предмет защиты. Сущность и понятие ИБ.

Док-нная инфа - зафиксированная на мат-ом носителе путем док-ния инфа с реквизитами, позволяющими определить такую инфу или в установленных законодательством РФ случаях ее мат-ый носитель.

ИС - совокупность содержащейся в базах данных инфы и обеспечивающих ее обработку инф-ых технологий и ТС. Информа. технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения инфы и способы осущ-ия таких процессов и методов. Обладатель инфы - лицо, самостоятельно создавшее инфу либо получившее на основании закона или договора право разрешать или ограничивать доступ к инфе, определяемой по каким-либо признакам. Инфа подразделяется на общедоступную инф и инф огр. доступа (секретная и конф). Инфа в зависимости от порядка ее распространения подразделяется на: 1) инфу, свободно распространяемую; 2) инфу, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; 3) инфу, кот. в соотв. с фед. законами подлежит предоставлению или распространению; 4) инфу, распространение которой в РФ ограничивается или запрещается. ИБ - это состояние инф. среды, обеспечивающее удовлетворение инф-ных потребностей субъектов инф-х отношений, безопасность инф-ции и защиту субъектов от негативного инф-нного воздействия. Принципы ИБ: законность, открытость в реализации ф-ций органов власти,правовое равенство всех участников инф. взаимодействия, приоритетное развитие отеч. инф. и телекоммуникац. технологий, тех и прогр ср-в. Методы ИБ: правовые, орг-технич, экономич.

1. 2 Значение ИБ в системе национальной безопасности.

Доктрина ИБ РФ. инфа дб полной, достоверной и своевременной, причем на всех этапах жизни инфы. Поэтому инфа дб защищена от негативных инф-ых воздействий. НБ РФ существенным образом зависит от обеспечения ИБ, и в ходе технического прогресса эта зависимость будет возрастать. Доктрина представляет собой "совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ РФ". Доктрина предназначена служить основой для: •формирования гос. политики в области обеспечения ИБ РФ; •подготовки предложений по совершенствованию правового, методического, научно-технич. и орг-го обеспечения ИБ РФ; •разработки целевых программ обеспечения ИБ РФ. В части безопасности инфы интересы личности в инф-ой сфере заключаются в "ЗИ, обеспечивающей личную безопасность", интересы общества - "в обеспечении интересов личности в этой сфере", интересы государства - "в создании условий для гармоничного развития российской инф-ой инфраструктуры".

Составляющие нац интересов: 1) соблюдение конституционных прав и свобод человека и гражданина в области получения инфы и пользования ею; 2) инф обеспечение гос. политики РФ; 3) развитие современных ИТ, отеч индустрии инфы; 4) защита инф ресурсов от НСД, обеспечение безопасности инф. и телекоммуникац систем. Требования (пути) к обеспечению нац. интересов: •обеспечение конст. прав и свобод человека и гражданина на личную и семейную тайну, тайну переписки, телеф. переговоров, почтовых, телеграфных и иных сообщений; •обеспечение запрета на сбор, хранение, использование и распространение инфы о частной жизни лица без его согласия. •повысить безопасность инф-ых систем. •поддерживать развитие отечественного производства аппаратных и программных СрЗИ. •обеспечить защиту сведений, сост. ГТ; •расширять международное сотрудничество РФ в инф-ой сфере. Виды угроз ИБ: см. составляющие нац. интересов. мероприятия по реализации гос политики обеспечения ИБ: •создание безопасных ИТ для систем, используемых в процессе реализации жизненно важных функций общества и государства; •пресечение компьютерной преступности; •обеспечение технологической независимости страны в области создания и эксплуатации информационно-телек-ых систем оборонного назначения.

1. 3 Сущность и понятие ЗИ.

По содержательной части ЗИ рассматривается как: предупреждение НСД к И; ограничение распространение И; ограждение права владение и распоряжение И; предотвращение утечки, хищения, утраты, уничтожения, копирования, модификации, искажения, блокирования, разглашения И; сохранение полноты, надежности, целостности, достоверности, конф-ти И и тд. Статус - положение, состояние. Нарушение статуса любой И заключается: 1) в нарушении её физ сохранности вообще или у данного собственника; 2) в нарушении структурной целостности И; 3) в нарушении доступности для правомочных пользователей (дополнительно включает в себя нарушение ее конф-ти). Уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней инфы. Формы уязвимости: Хищение, Потеря, Несанкц. уничтожение, Искажение, Блокирование, Разглашение. Но результатом проявления этих форм могут быть либо утрата, либо утечка И(виды уязвимости), либо одновременно и то и другое. Утечка инфы - неправомерный выход КИ за пределы защищаемой зоны. Разглашение И -НС распространение, раскрытие. Соотношение: Формы проявления уязвимости И выражают результаты ДВ, а виды уязвимости выражают конечный суммарный итог реализации форм уязвимости.

1. 4 Цели и значение ЗИ. Теоретические основы ЗИ.

Цель ЗИ - желаемый результат ЗИ. Цели определяют ради чего защищается инфа, задачи определяют вопросы, кот. нужно решить для обеспечения ЗИ. ЗИ как и любой вид деят-ти должен иметь двухуровневые цели: непосред-ая и опосредованная. Непосред-ная цель - обеспечение БИ (тк БИ одно из сост. ИБ), опосредованной или общей целью ЗИ явл-ся обеспечение ИБ гос-ва, общ-ва и личности. (БИ => часть ИБ => часть НБ) Общую цель ЗИ следует разбить на множество целей применительно к субъектам (государство, общество, личность) и их интересам. Теорию ЗИ совокупность идей и общих принципов, необходимых для раскрытия сущности, значения ЗИ и выработки методологии защиты.

Основные положения: 1) Исходное положение теории ЗИ - презумпция открытости инфы, т.е. И дб общедоступной и для ограничения доступа нужны веские основания. 2)Объективная необходимость и общественная потребность в ЗИ. 3) ЗИ должна удовлетворять общественные потребности. 4)ЗИ должна соответствовать внешней и внутренней политике гос-ва. 5) ЗИ зависит и от воен-политич обстановки в мире. 6)ЗИ должна отражать политику гос-ва в области НБ и базироваться на ней и охватывать все сферы жизнедеят-ти. 7)ЗИ дб увязана с проблемами информатизации общ-ва. 8) Ограничение доступа к И не должно нарушать конституционные права и свободы граждан. 9) Ограничение доступа к И должно обеспечивать баланс интересов гос-ва, общ-ва и личности. 10) Необходимо правовое законодательное регулирование основных вопросов ЗИ и взаимный контроль гос-ва и общ-ва за соблюдением нормативных актов. 11) ЗИ должна иметь необходимую научно-методическую базу. 12)ЗИ дб вмонтирована в области деят-ти и содействовать повышению эфф-ти.

1. 5 Критерии, условия и принципы отнесения инфы к защищаемой.

Защищаемая инфа - это вся КИ и определяемая собственником часть открытой инфы, утечка или утрата кот. может нанести ущерб собственнику И или лицу, к кот. она имеет отношение. При этом утечка и утрата имеют отношение только к КИ, а к открытой И имеет отношение только утрата. Конф-ть И - обязательное для выполнения лицом, получившим доступ к определенной И, требование не передавать такую И третьим лицам без согласия ее обладателя.

Состав защищаемой И определяет собственник исходя из критериев и условий отнесения И к защищаемой. К критериям относится: 1) Для открытой И: Необходимость И для правового обеспечения, для производственной, финансовой, управленческой деят-ти, функ-ия соц-ой сферы. 2) Для КИ: Неизвестность И 3-им лицам и получение за счет этого преимуществ. Условия: Если И не содержит сведений, кот. по гос. нормативным актам запрещено относить к КИ; Если ЗИ возможна по техническим условиям; Если затраты на ЗИ не превышают величину ущерба, кот. может произойти при ее незащищенности. Принципы: законность (П); обоснованность (О); своевременность (О); соблюдение баланса интересов государства, общества и граждан (П); приоритет международного права над внутренним. Он касается той И, по которой наша страна явл-ся участником международных соглашений (П); подчиненность ведомственных интересов общегос. при их несовпадении. (О) Названные принципы явл-ся правовыми (П) или организационными (О).

1. 6 Классификация конф инфы по видам тайны.

Понятие "тайна" можно интерпретировать как инфу, доступ к которой ограничен. В перечне сведений конф характера, утв. Указом Президента РФ от 6 марта 1997 г. N 188, виды тайн: ПД; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна; КТ; свед-я о сущности изобретения, полезной модели или промышленного образца до официальной публикации инфы о них.

ГТ - защищаемые государством свед-я в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деят-ти, распространение кот. может нанести ущерб безопасности РФ. Основания ГТ: соот-ие инфы переченю сведений, сост. ГТ, содержащийся в ст. 5 закона "о ГТ". СТ - служебные свед-я, доступ к кот. ограничен органами гос. власти в соотв. с ГК РФ и фед-ыми законами. Согласно положению1994 г., утв. Правительством РФ, " о порядке обращения со служ. инфой огр. распространения в федеральных органах исполнительной власти" к служ. инфы огр. распространения относится несекретная инфа, касающаяся деят-ти орг-ии, ограничения на распространение которой диктуется служ. необходимостью (сведения об усыновлении, вкладах граждан в различного рода банки, хар-ре заболеваний пациентов и т. д.). КТ -- режим конф-ти инфы, позволяющий ее обладателю при сущ-их или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерч. выгоду. Состав инфы, относимой к КТ, устанавливается ее собственником. Решающую роль при этом играют: потенциальный ущерб; потенциально упущенная выгода; соразмерность затрат на защиту инфы. ПТ -- свед-я, связанные с проф-ой деят-тью, доступ к кот. ограничен в соотв. с Конституцией РФ и фед. законами. ПД - любая инфа, относящаяся к опред. или определяемому на основании такой инфы физ. лицу.

1. 7 Классификация носителей защищаемой инфы.

Носитель инфы - физ. лицо или мат-ый объект, в тч физ. поле, в кот. инфа находит свое отображение в виде символов, образов, сигналов, технических решений и процессов. Источник инфы - физ. объект, система или явление формирующие инфу.

Виды носителей инфы: Физ. лица - инф фиксируется запоминания, отображается в форме образов, а воспроизводится во всех видах с переносом на др. носители; Носители на бумажной основе - типами бумажных носителей явл-ся ватман, калька, картон и т. д. Инф в них фиксируется рукописным, машинописным, электронным, типографским и др способом в форме текста, чертежа, схемы, формулы, графика, рисунка. В этих носителях инф отображается в виде символов и образов; На магнитной основе - Инфа фиксируется с помощью магнитного накопления, отображается в виде символов. (аудиокассеты, видеокассеты, жесткие и гибкие магнитные диски); Магнитооптические и оптические диски - в магнитооптическом запись выполняется лазерным лучом и магнитным полем, в оптическом - только лазерном лучом. Инф отображается в виде символов, а ее считывание осущ-ся лазерным лучом; Микросхемы - внутренняя память ЭВМ (ОЗУ). Фиксируется в виде двоичного кода, инфа отображается в виде символов; На фото эмульсионной основе - Инф фиксируется путем изменения хим. состава, нанесенного вещества. Создавая изображения объектов в виде символов, образов, технических решений и процессов. (фотопленка, фотокарточка, фотобумага, кинопленка, слайд); Носители на др. вещественных основах - винилы, пластмасса. Инф на них может фиксироваться разл способами, а отображаться в виде символов и образов; Выпускаемая продукция - своеобразие этого носителя в том, что инф в нем не зафиксирована, а как бы облачена, трансформирована в разл типы мат-ой продукции. Инф отображается в виде технических решений; Технологические процессы изготовления продукции - включают технологию производства продукции, применяемые при ее изготовлении компоненты (оборудование, приборы, материалы, вещества, сырье). Инф отображение в виде технических процессов и технических решений; Физ. поля - Инф фиксируется путем изменения их интенсивности. При приеме-передаче инф она отображается в виде сигналов.

К опосредованным видам носителей: мат-ые объекты, содержащие "следы" защищаемой инфы (отходы производства; вода, почву, растения, содержащие осадки производства; животных, птиц и рыб с измененным химическим составом крови или мутациями; воздух с измененным радиационным фоном, химическим). геометрические формы, размеры и архитектурные особенности строений.

1. 8 Понятие и структура угроз инфы.

Угроза защищаемой инфы - совокупность явлений, факторов и условий, создающих опасность нарушения статуса инфы. Любая угроза состоит из определенных взаимосвязанных компонентов, каждый из кот. сам по себе не создает угрозу, но явл-ся неотъемлемой её частью. Угроза возникает лишь при совокупном их взаимодействии. Угроза связана с уязвимостью инфы. Реализация угроз приводит к одной или нескольким формам проявления уязвимости. Формам уязвимости присущи опред. угрозы с набором соответствующих компонентов. Структура угроз предопределяет форму проявления уязвимости. К явлениям относятся: Источники ДВ на инфу; Виды ДВ; Способы ДВ.

К факторам, помимо причин и обстоятельств, относятся: наличие каналов и методов НСД к инфы; наличие огр. доступа со стороны не имеющих к этой инфы разрешенного доступа. Источники: Люди - а) непосред-ное воздействие на носитель защищаемой инфы; б) несанкц-ое распространение инфы; в) вывод из строя ТС; г) нарушение режима работы перечисленных ср-тв и технологии обработки инфы; д) вывод из строя и нарушение режима работы систем обеспечения функ-ия названных ср-тв. ); Преднамеренные ДВ Причины: получить мат-ую выгоду; нанести вред руководству или коллеге; стремление продвинуться по службе; физ. воздействие со стороны злоумышленника и т. д.) Обстоятельства: тяжелое мат-ое положение, финансовые затруднения; жадность; карьеризм. Непреднамеренные ДВ. Причины: неквалифицированное выполнение операций; халатность; небрежность; физ. недомогание. Обстоятельства: низкий уровень подготовки; отсутствие стимулов; перегруженность; плохое отношение со стороны администрации. Условия: Недостаточность мер по ЗИ; недостаточный контроль; принятие решении без учета требовании по ЗИ. Технические ср-ва отображения, хранения, обработки, воспроизведения, передачи инфы, ср-ва связи - а) выход из строя; б) сбои в работе; в) создание эл/м излучений. Причинам, ДВ со стороны ТС: недостаток или низкое качество ср-тв; низкое качество режима функ-ия; перезагруженность ср-тв; низкое качество технологии работ; ДВ на ср-ва со стороны др. источников воздействия. Обстоятельства: недофинансирование; плохой выбор ср-тв; износ; ошибки при монтаже и эксплуатации. Условия: недостаточное внимание к составу и качеству ср-тв со стороны администрации; нерегулярный профилактический осмотр ср-тв; низкое качество обслуживания ср-тв.

Системы обеспечения функ-ия ТС - а) выход из строя; б) сбои в работе. Причины, обстоятельства, условия: смотри ТС. Технологические процессы - изменение структуры окружающей среды. Причины: явл-ся специфика технологи. Обстоятельством - необходимость такой технологии. Условием - отсутствие возможности противодействия изменению структуры окружающей среды. Природные явления - стихийные бедствия. В основе ДВ со стороны природных явлений лежат внутренние причины и обстоятельства, неподконтрольные людям, и неподдающиеся нейтрализации или устранению.

1. 9. Источники, виды и способы ДВ на инфу.

Составляющие угрозы защищаемой инфы: 1) Источники ДВ; 2) Виды ДВ (каким образом происходит ДВ); 3) Способы ДВ; 4) причины, лежащие в основе ДВ; 5) обстоятельства, вызывающие эти причины; 6) условия, необх-ые для реализации ДВ.

Источники ДВ на инфу. Люди; Тех. ср-ва отображения, хранения, обработки, воспроизведения, передачи инфы, ср-ва связи; Системы обеспечения функ-ия ТС. Это системы электро-, водо-, теплоснабжения, кондиционирования. Технологические процессы. (процессы объектов ядерной энергетики, хим. пром-ти, радиоэлектроники, а также объектов по изготовлению некот. видов вооружения и военной техники, кот. изменяют естественную структуру окр. объект среды); Природные явления. Стихийные бедствия и атмосферные явления. В зависимости от источника и вида воздействия оно может быть непосред-но либо опосредованным. В. Виды воздействия. Источники: Люди - а) непосред-ное воздействие на носитель защищаемой инфы; б) несанкц-ое распространение инфы; в) вывод из строя ТС; г) нарушение режима работы перечисленных ср-тв и технологии обработки инфы; д) вывод из строя и нарушение режима работы систем обеспечения функ-ия названных ср-тв. ). Технические ср-ва - а) выход из строя; б) сбои в работе; в) создание эл/м излучений. Системы обеспечения функ-ия ТС - а) выход из строя; б) сбои в работе. Технологические процессы - изменение структуры окружающей среды. Природные явления - стихийные бедствия. I. Способы ДВ на инфу со стороны людей. а) Физ. воздействие; б) вывод из строя и нарушение режима работы ТС; в) Размагничивание носителя; г) создание помех в радиоэфире, разрыв линий связи; д) нарушение технологии обработки И; е) вывод из строя и нарушение режима работы систем обеспечения функ-ия; ж) заражение ПО; з) передача копий носителей КИ; и) опубликование КИ. Приводят к уничтожению, искажению, блокированию. II. Способы ДВ на И-ию со стороны ТС. 1. Тех. поломка, аварии; 2. возгорания, затопления; 3. разрушения или повреждения носителя инфы; 4. возникновение тех. неисправностей ТС; 5. нарушение режима функ-ия ср-тв. III. Способы ДВ на И-ию со стороны Системы обеспечения функ-ия ТС. 1. поломки, аварии; 2. возгорания, затопления; 3. выход из строя источников питании. IV. Способы ДВ со стороны технологических процессов. Изменения естественного рад. фона, хим. состава и локальной структуры маг. поля окр. среды; Способы ДВ со стороны стихийных бедствий. Проявления стихийных бедствий.

1. 10. Причины, обстоятельства и условия ДВ на инфу.

В основе любого ДВ на инфу лежат опред. причины, побудительные мотивы, кот. обуславливают появление того или иного вида и способа воздействия. Вместе с тем, и причины имеют под собой основания, обстоятельства (предпосылки), кот. вызывают их, способствуют их появлению. Однако, наличие источников, видов, способов, причин и обстоятельств ДВ представляют потенциально существующую опасность, кот. может развиться при наличии определенных условий для этого. Тк виды и способы ДВ зависят от источников воздействия, то и причины, обстоятельства и условия дб привязаны к источникам воздействия. Источник: ЛЮДИ: Преднамеренные ДВ - Причины: получить мат-ую выгоду; нанести вред руководству или коллеге; стремление продвинуться по службе; физ. воздействие со стороны злоумышленника и т. д. ) Обстоятельства: тяжелое мат-ое положение, финансовые затруднения; жадность; карьеризм. Непреднамеренные ДВ - Причины: неквалифицированное выполнение операций; халатность; небрежность; физ. недомогание. Обстоятельства: низкий уровень подготовки; отсутствие стимулов; перегруженность; плохое отношение со стороны администрации. Условия: Недостаточность мер по ЗИ; недостаточный контроль; принятие решении без учета требовании по ЗИ. ТС: Причинам, ДВ со стороны ТС: недостаток или низкое качество ср-тв; низкое качество режима функ-ия; перезагруженность ср-тв; низкое качество технологии работ; ДВ на ср-ва со стороны др. источников воздействия. Обстоятельства: недофинансирование; плохой выбор ср-тв; износ; ошибки при монтаже и эксплуатации. Условия: недостаточное внимание к составу и качеству ср-тв со стороны администрации; нерегулярный профилактический осмотр ср-тв; низкое качество обслуживания ср-тв.

1. 11. Каналы и методы НСД к инфы.

НСД - преднамеренный или случайный доступ к инфе, не разрешенный в установленном порядке. Канал НСД - путь, используя кот., можно получить неразрешенный преднамеренный или случайный доступ к инфе. Угроза инфы - совокупность явлений, факторов и условий, создающих опасность нарушения статуса инфы. 2 принципиальных различия между понятиями "НСД" и "утечка конф инфы": a) утечка КИ происходит от носителя (источника) к лицам, не имеющим доступа к инфе; НСД осущ-ся от лиц, не имеющих доступа к защищаемой инфе, к носителям; b) утечка ограничивается тремя формами проявления уязвимости: разглашением, потерей носителя, хищением носителя или инфы; НСД может привести к хищению, уничтожению, искажению, блокированию, разглашению.

Каналы: 1. установление контакта с лицами, имеющими или имевшими доступ к конф инфе. a) выведывание инфы: b) получение от лица КИ с прежнего места работы. c) Разовая покупка КИ. d) Принуждение к выдаче КИ e) Склонение к выдаче КИ. 2. Вербовка и (или) внедрение. Агентов, кот. осущ-ют: ознакомление с док-ми, находящимися на рабочих местах др. сотруднико, осмотр продукции, наблюдение за технологическим процессом; считывание инфы в массивах др. пользователей, подслушивание разговоров, прослушивание выступлений; кража носителей инфы, 3. орг-ия физ. проникновения к носителям КИ использование подложного пропуска; маскировка под другое лицо; проход под видом внешнего обслуживающего персонала; проезд спрятанным в автотранспорте; отвлечение внимания охраны для прохода незамеченным; преодоление заграждающих барьеров, минуя охрану, 4. Проникновение к носителям КИ путем взлома дверей хранилищ и сейфов, через окна, 5. Орг-ия физ. проникновения к ср-вам отображения, хранения, обработки, воспроизведения, передачи инфы и системам обеспечения функ-ия этих ср-тв: с ПК с использ. телеф. набора или с несанкц. терминала со взломом или без взлома парольной защиты. с помощью закладных уст-тв. с помощью прямого подсоединения к кабельным линиям связи за счет ПЭМИН и ВЧ навязывания. 6. Подключение к системам обеспечения функ-ия ср-тв отображения, хранения, обработки, воспроизведения и передачи инфы, ср-тв связи: замеры потребления электроэнергии, воды или подключение к сетям питания, заземления. 7. Прослушивание речевой КИ.: Напрямую слуховой системой человека или с использованием радиозакладок, направленных микрофонов, лазерных систем. 8. Визуальный съем конф инфы может осущ-ся след. методами: чтением док-ов; осмотром продукции, наблюдением за технолог. процессом изготовления продукции; наблюдением за технол. процессами изготовления, обработки, размножения инфы; считыванием инфы в массивах др. пользователей.

1. 12. Направления, виды и особенности деят-ти разведывательных служб по НСД к инфе.

США: Руководство деят-тью разведорганов осущ. президент страны, явл-ся главой исп. власти. Упр-ие органами осущ-ся через Совет Нац. Безопасности (СНБ). Совет определяет политику в области НБ и основные направления деят-ти развед. и контрразвед. органов. В состав СНБ входят: вице-президент, руководители ведущих министерств и ведомств, директор ЦРУ. ЦРУ основной развед. орган. Структурно ЦРУ состоит из функц-ых и региональных директоров, уп-ий и отделов. Разведслужбы министерства обороны США: Развед. упр-ие (РУМО) - военная разведка; АНБ - перехват и расшифровки сообщений, разрабатывает шифры; Нац. упр-ие воздушно-космической разведки - запуск и упр-ие спутников-шпионов. Англия: Руководство деят-ти разведки и контрразведки осущ. объединенный развед. комитет. Ми-6 - внешняя разведка, Ми5 - контрразведка. Центр правительственной связи - радиоэле. разведка и обеспечение ЗИ в правительстве и армии. Комитет безопасности - осущ. ор-ию взаимодействия развед. и контрразвед. органов со службами безопасности министерств, ведомств и предприятий. В составе министерства обороны имеется: объединенное разведывательное бюро - военно-морская и военно-воздушная разведка; упр-ие военной разведки, которое занимается практически тем же. Основными органами разведки явл-ся: сухопутная; морская; военная (воздушная Франция: Основные руководящие и координирующие органы разведки: комитет Обороны - гл. Президент, он определяет основные направления внутренней и внешней политики и разведывательной и контрразведывательной деят-ти; Межминистерский комитет по разведки - гл. премьер-министр, занимается почти тем же. Осн. развед. орган - Главное упр-ие внешней безопасности (ДЖСЕ) - сбор разведывательной инфы. Развед. упр-ие МО, в которое входят разведслужбы (вторые бюро) военно-морских, военно-сухопутных сил. ФРГ: Руководство разведкой осущ-ся ведомством фед-го канцлера через Комитет госсекретарей - определяет задачи разведки, координирует и контролирует деят-ть всех органов разведки, контрразведки и полиции. Осн. развед. орган - федеральная разведывательная служба (БНД 46-47г. г. ). При штабе МО есть военная разведка "Упр-ие инф-ой службы Бундесфера", а при штабах трех родов войск существуют разведотделы. Контрразвед орган Федеральное ведомство по охране конституции. Канада: Департамент национальной безопасности и канадских сил: Разведывательное подразделение и Бюро безопасности связи. Королевская канадская конная полиция, Канадская служба безопасности и разведки (СИСИС), Канадская криминальная и разведывательная служба. Япония: Упр-ие расследований и общественной безопасности в составе министерства юстиции. Италия: СИСМИ - служба инфы военной разведки; СИСДЭ - служба инфы и демократической безопасности. Израиль: Комитет руководителей служб ВААДАТ, разведывательная служба Моссад.

По структуре можно разделить на 3 категории: разведслужбы в составе подразделений безопасности предприятий; самостоятельные разведывательные подразделения в составе предприятий; специализированные разведывательные службы, являющиеся самостоятельными предприятиями. Три формы разведки: Нелегальная разведка (агентурная развед., шпионаж) - добывание разведывательной, защищаемой инфы с помощью агентов, т.е. лиц, действующих по поручению разведки. Легальная разведка (методы): приобретение открытой литературы; выведывание инфы у граждан; визуальное наблюдение при поездках. Разведка научно-техническая - разведка с помощью технические ср-ва.

Направления и виды разведывательной деят-ти, их соотношение и взаимосвязь. Направления деят-ти спецслужб: 1) добывание разведывательной инфы, исследование и анализ инфы, создание условий для работы разведки, непосред-ные действия, или ведение подрывных акций; 2) военно-политический шпионаж, экономический шпионаж, промышленный шпионаж.

1. 13. Организационные основы и методологические принципы ЗИ.

Орг. основы: Наличие спец. подразделений ЗИ; нормативно-методической базы по ЗИ; Наличие помещений для хранения носителей и для работы с ними; обеспечение охраны; Наличие мат. базы для ЗИ; мероприятий по орг-ии ЗИ и эфф-ти.

Значение принципов ЗИ - основные исходные положения, подходы и требования по ЗИ. Они универсальны, т.е. применимы к ЗИ, составляющей любой вид тайны. Принципы, обусловленные принадлежностью, ценностью, конф-тью, технологией ЗИ. Суть принципов сводится к следующему: ЗИ должен обеспечивать собственник или владелец; В ЗИ должны участвовать все сотрудники соприкасающихся с защищаемой инфой; персональная ответственность сотрудника к допущенной инфы; ЗИ в соотв. с нормативно-правовой базой; ЗИ дб привязана к конкретным специфике предприятия; должны учитываться все потенциально угрозы, вероятность их реализации стремления и возможности соперников; Уровень ЗИ должен соответствовать важности инф; ЗИ дб экономически целесообразна; ЗИ дб своевременной; ЗИ дб непрерывной; ЗИ дб системной и комплексной; ЗИ дб дифференцирована, в зависимости от характера, объема, вида тайны и т. д. ; ЗИ не должна препятствовать коммерческому использованию инфы; ЗИ содействовать повышению эфф-ти деят-ти.

1. 14. Объекты ЗИ.

Объект ЗИ - Инфа или носитель инфы, или инф. процесс, кот. необходимо защищать в соотв. с целью ЗИ. Соотношение Объектов ЗИ и рубежей: 1) территория; 2) здания; 3) Помещения в кот. расположены хранилища носителей инфы, производиться работа с защищаемой инфой; 4) Непосред-но хранилища, ср-ва транспортировки (временные хранилища). Носитель инфы: человек; матер. носители на разл. основах; продукция; технологические процессы; ЭМ-поля; (опосредованные) мат-ые объекты и ) геометрические формы, размеры и архитектурные особенности строений. Состав хранилищ носителей: Хранилища - Металлические шкафы, сейфы, боксы и т. д. Они защищают от НСД к носителям. Располагается в защищённых помещениях (двери, замки, решетки). Защита осущ-ся с помощью замков, сигнализации. Состав подлежащих защите ТС: Объектами ЗИ: ср-ва отображения, обработки, воспроизведения и передачи инфы; ЭВМ - защищаются от несанкц. подключения, вируса, визуального наблюдения, вывода из строя; ср-ва видео-техники - защищаются от прослушивания и визуального наблюдения; ср-ва радио и кабельной связи - защищается от прослушивания. Др.: Системы обеспечения функ-ия предприятия - Защищаются от прослушивания, визуального наблюдения, вывода из строя; ТС ЗИ - Защищаются от визуального наблюдения и от НСД к ним. Виды и способы ДВ: Люди - непосред-ное воздействие; вывод из строя ТС;

1. 15. Классификация видов, методов и СрЗИ.

Правовая защита - вид защиты, включающий совокупность установленных и охраняемых государством правил, регламентирующих защиту инфы. Организационная защита инфы -включает совокупность орг.-распорядительных док-ов, орг-ых методов и мероприятий, регламентирующих и обеспечивающих организацию, технологию и контроль ЗИ. Основу криптографической ЗИ составляет криптография. Программно-аппаратная ЗИ -спец. программы, функционирующие автономно, либо реализовано в программных ср-вах обработки инфы или ТС. Т.о., программно-аппаратная защита предназначена для защиты инф-ых технологий и ТС обработки инфы. ИТЗИ - комплекс ИТ методов, ТС и мероприятий по их установке и эксплуатации. Сферой инженерно-технической ЗИ явл-ся защита от физ. и технического НСД.

Методы ЗИ - способы защиты, кот. самостоятельно или в совокупности со ср-вами защиты обеспечивают один или несколько видов защиты. Локальные - методы имеющие отношение к одному определённому виду защиты. Универсальные- методы используемые не в одном, а в нескольких видах защиты; Регламентация (д/б установлены правила регулирующие ЗИ); Скрытие (сделать незаметным для противника существ. объекта); Маскировка (скрыть истинное назначение объекта); Дезинфа (введение в заблуждение); Дробление (каждый знает свою часть); Препятствие (создание различных препятствий). Ср-ва ЗИ - совокупность технические, криптографические, программные и др. ср-ва, предназначенные для ЗИ, ср-ва, в кот. они реализованы, а также ср-ва контроля эфф-ти защиты. Бывают: Технические (аппаратные) ср-ва; Программные ср-ва; Смешанные аппаратно-программные; Организационные ср-ва (организационно-технических и организационно-правовых). Области применения методов: Организац. -общие: разработка и внедрение технологии защиты; подбор, проверка и обучение персонала; распределение и регламентация обязанностей по ЗИ; установление персональной ответственности; поощрения за обеспечение ЗИ; осущ-е контроля. Специфические методы организационной защиты относятся к конкретным объектам защиты: конф док-ми; защищаемой продукции; допущенному к защищаемой инфы персоналу. Криптографические - относящимися к ЗИ в целом и включают в себя шифрование, кодирование. Шифрование явл-ся самым распространённым методом в инф. сетях. Инженерно-технические Общие методы обеспечивают ЗИ: От несанкц. физ. проникновения к ней; От визуального наблюдения; От подслушивания; От перехвата электромагнитных излучений.

1. 16. Кадровое и ресурсное обеспечение ЗИ.

От угроз со стороны персонала нужно: вести учет носителей КИ; санкционировать и вести учет доступа к носителям инфы; назначение ответственных лиц за соблюдением режима конф-ти; ответственность исполнителей; инструктаж сотрудников; квалификационные сотрудники. Состав кадрового обеспечения ЗИ: Руководители предприятий и структурных подразделений; Спец. комиссии по ЗИ; СБ. Полномочия руководства: ответственность за обеспечение режима секретности, за своевременную разработку и осущ-е мероприятий по ЗИ; Издают приказы, распоряжения, положения, инструкции и др., регламентирующие работу с конфиденц. инфой; подбор кадров по ЗИ; контроль обеспечения режима секретности. Полномочия подразделений: обеспечение режима секретности; ведение конф делопроизводства; орг-ия приема, учета, хранения и размножения конф док-ов; контроля обращения с конфи док-ми; контроль присвоения грифа секретности; орг-ия внутри объектового режима. Полномочия спец. комиссий: разработка перечней сведений; снижение или снятие степени конф-ти сведений; экспертиза ценности конф док-ов. Полномочия пользователей защищаемой инфы: соблюдать требования ИБ; дать письменное обязательство о неразглашении сведений конф характера; в случае их утраты немедленно сообщить об этом администрации. Мат. ресурсы: спец. выделенные помещения, спец. оборудование, компьютерная и оргтехника, аттестованные в соотв. с принятыми нормами, аппаратные ср-ва, программные ср-ва и комплексы, ср-ва ЗИ и др. Информационные ресурсы: нормативная база по проблемам безопасности; коммерческая инфа; научно-техническая инфа; инфа о производственно-технологических процессах на предприятии; аналитическая инфа. Финансовые ресурсы: Практическая работа по проектированию, созданию и сопровождению системы ЗИ невозможна без экономического обоснования затрат на их реализацию. Количественные показатели: бюджет службы ЗИ и предприятия в целом; число ЭВМ на рабочих местах, сейфов, столов, стульев, мест хранения; кол-во кабинетов для конф делопроизводства; число сотрудников для выполнения конф делопроизводства. Качественные показатели: квалификация сотрудников; наличие сертифицированных СрЗИ; соот-ие помещения требованиям ФСТЭК.

2. 1. Сущность, общее содержание, задачи и принципы орг-ии КСЗИ.

Система ЗИ - организованная совокупность органов и объектов ЗИ, использование методов и ср-тв защиты, а также осущ-е защитных мероприятий. КСЗИ - система полно и всесторонне охватывающая все процессы и факторы обеспечивающие безопасность защищаемой И. Назначение - объединение в одно целое локальных систем ЗИ, причем они должны функционировать в единой связке. Система должна объединять логически и технологически все составляющие защиты, полнота всех сост. и явл-ся вторым назначением комплексности. Система должна обеспечивать безопасность всей совокупности И. В то же время комплексность предполагает дифференцированный подход к ЗИ, в зависимости от состава ее носителей, видов тайны, ср-тв хранения и обработки, форм и условий появления уязвимости, каналов и методов НСД к И. Основные задачи КСЗИ. 1)Задачи анализа - опр-е хар-к изучаемого объекта и целей его функ-ия, а также целей орг-ии системы защиты объекта и состава ср-тв и затрат; 2)Задачи синтеза - проектирование архитектуры и технологических схем функ-ия объекта и системы. 3)Задачи упр-ия - поиск управляющих воздействий на параметры объекта и системы с целью поддержания их в требуемом состоянии. Факторы, влияющие на организацию КСЗИ. существенные изменения и усложнение в орг-ии ИТ; повышение значимости И, как общественного ресурса; большое разнообразие (арсенал) способов ДВ на И, способов ее злоумышленного использования. Дополняют их факторы внутреннего хар-ра: наличие богатого опыта орг-ии защитных процессов по отношению к традиционным и автоматизированным технологиям ее обработки; наличие эф-ных научных и практических разработок СрЗИ по всем основным направлениям (правовому, инженерно-техническому, программно-аппаратному, криптографическому, организационному), наличие развитой системы, подготовки, переподготовки и повышения квалификации кадров в сфере ЗИ. Принципы орг-ии КСЗИ: принцип законности ЗИ; принцип полноты состава ЗИ; принцип обоснованности ЗИ; принцип персональной ответственности за ЗИ; принцип наличия использования всех необходимых сил и ср-тв для защиты; принцип превентивности принимаемых мер по ЗИ, кот. заключается в опережающем заблаговременном принятии мер по защите И до начала ее разработки или при получении. Основные требования, предъявляемые к КСЗИ. -1 Система дб привязана к целям и задачам ЗИ на конкретном предприятии. -2 Система дб целостной, а именно содержать все необходимые составляющие, иметь структурные связи между компонентами. -3 Система дб всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты. -4 Система дб достаточной для решения поставленных задач и надежной во всех эл-тах защиты. -5 Система дб вмонтированной в технологические схемы сбора, хранения, обработки, передачи и использования И. -6 Система дб компонентно, логически, технологически и экономически обоснованной. -7 Система дб реализуемой, обеспеченная всеми необходимыми ресурсами. -8 Система дб простой и удобной в эксплуатации и упр-ии. -9 Система дб непрерывной. -10 Система дб достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки И, условий защиты.

2. 2. Технология и орг-ия КСЗИ.

Общая или комплексная цель это проектирование орг-ии технологии всего комплекса или большего числа мероприятий по ЗИ. При локальном проектировании осущ-ся проектирование отдельной подсистемы КСЗИ. Перечень направлений комплексного проектирования определяется в зависимости от нужд конкретного предприятия и постановленных перед проектом задач и условий. Основные направления проектирования КСЗИ: 1. создание и совершенствование орг структуры КСЗИ; 2. соверш-е технологических процессов ЗИ; 3. соверш-е методов и СрЗИ; 4. соверш-е информац обеспечения ЗИ; 5. соверш-е связей и орг-ия взаимодействия по вопросам ЗИ с др предприятиями.

Основные этапы технологии построения организационных систем: 1. постановка проблемы; 2. исследование проблемы (сбор, анализ данных, построение модели); 3. опр-е границ (с точки зрения состава) проблемного объекта, т.е. всех потенциальных участников решения проблемы; 4. обследование проблемного объекта; 5. выбор критерия эфф-ти или оценка альтернативных проектов; 6. выбор границ (состава) объекта упр-ния; 7. обследование объекта упр-я (изучение организаций, входящих в состав объекта упр-ия с целью формирования альтернативных вариантов построения системы упр-ия и орг с-мы в целом); 8. разработка ТЗ; 9. техническое и рабочее проектирование; 10. внедрение. Хар-ика основных стадий создания КСЗИ. Процесс создания КСЗИ вкл. несколько стадий: предпроектную стадию, стадию рабочего проектирования, внедрение и эксплуатация. На предпроектной стадии происходит разработка технико-экономич обоснования (ТЭО) к созданию системы, опред. общие требования к ней, а также разрабатывается ТЗ. В ТЭО - обосновывается необход. создания, задачи, состав функций, оцениваются затраты, определяются требования к КСЗИ в целом и отд. ее подсистемам. В ТЗ - указыв. порядок проведения проектных и др. работ, их очередность, стадии, этапы, орг-ии-исполнители, составляется план - график мероприятий по вводу в действие системы. Далее начинается обследование предприятия с целью выявления объектов ЗИ и опр-я целей, ф-ций, задач и состава основных компонент СЗИ. Происходит. - формирование рабоч. групп; - сбор и анализ данных о структуре объекта; - анализ с-мы упр-я объектом, целей его функц-я, квалиф. и численного состава сотрудников, технологич. базы; - определение объемов работ, необходимых для создания системы и затрат. На стадии рабочего проектирования детализируется орг, тех, технологические идеи и решения, содержащиеся в тех. проекте; происходит подготовка рабоч. помещений, утверждение спецификаций оборудования, монтаж и наладка ТС, подготовка нормативно-справочной док-тации, док-тационное оформление самого проекта. На стадии внедрения идет процесс постепенного перехода на др. уровень орг-ции технологич. процессов, обучение персонала, доработка отд. компонентов с-мы, составление приемно-сдаточного акта. Эксплуатация включает уточнение требований, предъявляемых к СЗИ на данном предприятии, корректировку проектных решений, отладку ср-тв и технологии выполнения ф-ций по эксплуатации, оценку устойчивости системы к негативным воздействиям, орг-тех и программное сопровождение работы технических комплексов. - Назначение и структура задания на проектирование, технического задания, технико-экономического обоснования. Цель разработки техн. задания это обоснование требований в структуре систем защиты, обеспечение совместимости и взаимодействия всех ср-тв, Обеспечение состава системы, плана ее создания, и оценка затрат. На этом этапе разрабатываются и обосновываются все проектные решения. А именно разработан и обоснован выбранный вариант проекта, уточнены перечни ТС. Разработка технического задания начинается после утверждения технико-экономического обоснования. При разработке технико-экономического обоснования - анализируется деят-ть объекта, готовятся исходные данные для того, чтобы сформулировать технико-экономическое обоснование, главное на этом этапе это обоснование целесообразности и необходимости создания системы защиты, выбор защищаемых каналов, определение объемов работ по созданию системы защиты, сметы и сроков ее выполнения. Технико-экономическое обоснование должно согласовываться с орг-иями и службами ответственными за обеспечение Безопасности.

- Предпроектное обследование, технический проект, рабочий проект. Обследование предприятия производится с целью выявления объектов ЗИ и определения целей, функций, задач и состава основных компонент СЗИ. Происходит. - формирование рабоч. групп; - сбор и анализ данных о структуре объекта; - анализ системы упр-ия объектом, целей его функ-ия, квалификации и численного состава сотрудников, технологич. базы; - определение объемов работ, необх. для создания системы и затрат. - Особенности ввода в эксплуатацию КСЗИ. Этап эксплуатации: контроль состояния и оценки качества функц-я КСЗИ; координация и контроль работы подразделений, обеспечивающих функц-е КСЗИ; проверка по действующим методикам соблюдение треб-й нормативных док-ов по з; оценка обоснованности или необх-ти корректировки принимаемых решений и мер по ЗИ; внесение изменений и дополнений в норм-методические, мат-тех и кадровое обеспечение КСЗИ. Желательно, чтобы в монтаже, настройки защитных систем участвовали те сотрудники, кот. в дальнейшем будут их эксплуатировать. Создание системы ЗИ в орг-ии это четкое распределение функций и согласование выполняемых работ, основной причиной разработок явл-ся отсутствие единого руководства, координационного плана и неудовлетворительная орг-ия контроля и упр-ие ходом разработки со стороны заказчика.

2. 3. Разработка модели КСЗИ.

Под моделью понимается образ реального объекта, выраженный в мат-ой или идеальной форме, отражающий наиболее существенные свойства объекта и замещающий его в ходе изучения. Сам процесс моделирования охватывает формирование след-их моделей кибернетической, функциональной, структурной и инф-ой. Кибернетика занимается изучением процессов упр-ия системами любой природы. Законы кибернетики: Любое упр-ие - это информац процесс., это целенаправленный процесс, это с-ма, в к-рой есть субъект упр-ия, объект упр-ия, прямая и обратная связь между ними. В киберн. системе дается описание экономических, социальных, правовых, политических, финансовых и др. условий, в к-рых функционирует КСЗ и к-рые образуют для нее внешнюю среду.

Организационное построение КСЗИ Как правило, орг с-мы - это сложные многоуровневые системы, к-рые состоят из мн-ва взаимодействующих эл-тов и подс-м. Отличительной их особенностью явл-ся то, что кажд ее эл-т принимает решение по орг-и действий, т.е. явл-ся решающим эл-том. Исполнительные эл-ты принимают решение по орг-ии только своих собственных действий, руководящие эл-ты - своих собственных и действий исполнительных эл-тов.

Функциональная модель КСЗИ Функциональная модель - отражение состава и содержания общих и спец. функций системы комплексной ЗИ, реализуемых в рамках определенных условий, кот. связаны с этапами формирования и развития системы и объекта защиты. Анализируя срезы этой модели можно детализировать содержание функций защиты по выбранному направлению на конкретном этапе развития системы защиты.

Модель потенциального нарушителя. Злоумышленником будем называть нарушителя, намеренно совершающего те или иные действия с целью компрометации инфы. Модель нарушителя определяет его потенциальные возможности, знания, время и место действия. Ппри разработке модели определяется предположение о категории лиц, к которой может принадлежать нарушитель. Предположения о мотивах действий нарушителя (какие цели преследует, предположения о квалификации нарушителя и его технической оснащенности, об использовании в совершении нарушения методов и ср-тв). Ограничения и предположения о характере возможных действий нарушителя. По отношению к системе нарушители могут быть внутренними (из числа персонала) или внешними. Всех нарушителей можно квалифицировать след. образом: по уровню знаний; по уровню возможностей (использованных методов и ср-тв); по времени действия: а) в момент функ-ия системы б) в период неактивности компонентов; по месту действия: а) без доступа на контролируемую территорию б) с контролем территории без доступа в здание, помещении в) внутри помещения г) с доступом к данным д) с доступом к месту упр-ия ср-вами обеспечения безопасности.

Реализация концепции СЗИ матрица разграничения доступа, модель с полным перекрытием. Обеспечение ЗИ основная цель. Для этого нужно организовать матрицу разграничения доступа (наглядно реализуется в АИС), в которой каждый субъект имел бы опред. права относительно каждого объекта. Чтобы построить модель с полным перекрытием, нужно закрыть все возможные пути НСД и ДВ на объект. Нужно выявить все явления, факторы и условия, кот. могут нарушить статус инфы. НСД к каждому из наборов защищаемых объектов дб сопряжен с некоторой долей ущерба для своего владельца. С каждым объектом требующим защиты связывается некоторое множество действий, к кот. может прибегать злоумышленник для получения НСД. Если попытаться перечислить все потенциальные действия злоумышленника, то т.о будет перечислен набор угроз направленных на нарушения БИ.

2. 4. Назначение, структура и содержание упр-ия КСЗИ.

Технология орг. упр-ия - регламентированная совокупность методов и ср-тв упр-ия коллективами людей в процессе достижения цели их деят-ти. Организационное упр-ие может быть рассмотрено в двух основных аспектах: 1. орг-ия содержания деят-ти (что делается, т.е. каковы ф-ии и цели системы упр-ия) 2. орг-ия самого процесса (как делается: какими методами достигается поставленная цель и осущ-ся сам процесс упр-ия). Общая цель упр-ия - обеспечение максимально возможной эфф-ти использования ресурсов. Орг-ия упр-ия представляет собой процесс упорядочения управляющих систем и включает след. операции: выявление функций упр-я; установление рационального кол-ва ступеней и звеньев упр-я; распределение функций, прав и ответственности между ними по вертикали и горизонтали; определение профессионального и количественного состава кадров; выбор ТС упр-ия; разработка нормативно-методической базы (положения, должностных инструкций.. ); регламентация, т.е. установление порядка реализации управленческих процессов (направления, схемы док-оборота, сетевые и матричные схемы решения задач). Взаимодействию упр-ия присущи след-щие черты: субъект упр-ия направляет объекту упр-я команды упр-ия, к-рые содержат инф-цию о функ-ии объекта упр-ия; объект упр-ия получает их, действует в соотв. с ними. В роли субъекта упр-я могут выступать совокупность подразделений или служб предприятия, отдельное подразделение. В качестве объекта может выступать коллектив спец-ов, отдельный работник, ресурсообеспечение, док-топоток и т. п. Упр-ие необходимо рассматривать как процесс, имеющий как прямые, так и обратные связи.

- Планирование деят-ти КСЗИ. В упр-ии КСЗИ выделяют 4 основные ф-ии: планирование, календарное руководство выполнением плана, оперативное упр-ие (в условиях ЧС) и контроль. Плановые периоды: Долгосрочные (3-5 лет и более) Среднесрочные (1-3 года) Текущие (1 неделя - 3 месяца, декада) Ф-ция планирования имеет сложную структуру, в к-рой можно выделить след-щие подф-ии: прогнозирование, моделирование и программирование. В качестве конечных точек планирования выступают цели. Цели дб: реальными и достижимыми; детализированными по подразделениям; измеримыми - однозначными для понимания (четкими); не противоречащими объективным законам упр-ия; понятными для исполнителей. Цели: задаются с учетом объема работ и сроков их выполнения; задаются с учетом имеющихся ресурсов для их достижения; задаются с учетом возможностей исполнителей. В планировании очень важны базовые компоненты: 1)методология планирования 2) методика планирования 3) комплекс показателей планирования, кот. должны образовывать логически завершенную систему 4) совокупность органов планирования - совокупность взаимосвязанных и взаимодействующих подразделений, обеспечивающих планирование. Помимо различия в подходах к планированию существует различие и в способах планирования. Различают три основных способа: анализа, синтеза, итерационный. Первый способ предполагает ступенчатую разработку плана (сверху вниз). 2 способ предполагает обратное движение - снизу вверх. 3 способ выступает в качестве собирательного. - Структура и общее содержание планов. Основные разделы мероприятий, включающихся в план: 1. организационная, методическая, контрольно-проверочная, техническая, аналитическая работы. Содержание плана: 1. желаемый результат; 2. краткая программа действий; 3. планируемые к использованию ресурсы; 4. срок исполнения; 5. исполнители. - Орг-ия выполнения планов. Планирование как ф-ция упр-ния ЗИ реализуется через сис-му принципов, к кот. относятся: 1. директивность: планы носят обязател. х-р для всех сотрудников и подразделений СлЗИ; 2. преемственность планов; 3. конкретность планов; 4. гибкость планов; 5. комплексность; 6. экономичность.

Нормативное обеспечение - это комплекс положений, законодательных актов, нормативных док-ов, методик и правил, регламентирующих создание и функционирование КСЗИ и определяющих правовой статус подразделений и лиц, входящих в структуру и обеспечивающих функционирование КСЗИ. - Подбор и обучение персонала. Работа с персоналом может быть разделена на этапы: прием на работу, обучение, адаптация и увольнение. Эфф-ть работы спец-ов зависит от 2-х параметров: способность выполнять требуемые ф-ии; желание выполнять требуемые ф-ии (мотивация). - Нормативные док-ты, регламентирующие деят-ть персонала по ЗИ. На предприятии необходимо разработать ряд док-ов: 1- Устав предприятия, фирмы, банка. (строчка о КТ) 2- Разрабатывать перечень сведений, сост. КТ предприятия. 3- Дополнить договор с сотрудниками след.и требованиями (компания создает, сотрудник не разглашает) Существует 2 варианта трудового договора: Коллективный; индивидуальный 4- Правила внутреннего трудового порядка: - порядок приема и увольнения сотрудников. - Распределение функций по ЗИ среди персонала предприятия. Текущая работа с действующим персоналом СлЗИ включает эл-ты: 1. расстановка сотрудников по направлениям ЗИ; 2. орг-ия соц-ой и проф-ой адаптации сотрудников в коллективе СлЗИ; 3. орг-ия системы оплаты и стимулирования труда; 4. оценка результатов деят-ти любого сотрудника; 5. орг-ия продвижения по службе наиболее перспективных сотрудников; 6. орг-ия подготовки руководителей СлЗИ на базе внутреннего резерва; 7. орг-ия подготовки и переподготовки сотрудников; 8. исследование коллектива СлЗИ с точки зрения неформальной орг-ии. Ф-ии, связанные с ЗИ между персоналом должны распределяться т.о., чтобы каждый сотрудник знал ровно столько, сколько ему положено знать, и понимал, что вверенная ему КИ, дб, доступна, только санкционированному кругу лиц. - Обеспечение благоприятного псих. климата в коллективе как эл-т системы. Возникновение конфликта в коллективе сказывается на качестве ЗИ и качестве упр-ия.

2. 5. Технология упр-ия КСЗИ. Определение и основные понятия технологии упр-ия КСЗИ

Технология организационного упр-ия - регламентированная совокупность методов и ср-тв упр-ия коллективами людей в процессе достижения цели их деят-ти.

Организационное упр-ие - это прежде всего вид человеческой деят-ти, и как любая деят-ть, она может быть рассмотрена в двух основных аспектах: 1. орг-ия содержания деят-ти (что делается, т.е. каковы ф-ии и цели системы упр-ия), 2. орг-ия самого процесса (как делается: какими методами достигается поставленная цель и осущ-ся сам процесс упр-ия). Общая цель упр-ия - обеспечение максимально возможной эфф-ти использования ресурсов. Технология упр-ия дб разработана так, чтобы обеспечить комплексную автоматизацию всех процессов обработки данных и упр-ия, единство органов, методов и ср-тв упр-ия, максимальную автоматизацию при решении всех задач, объективно возникающих в процессе функ-ия органов упр-ия, в тч задач выработки управленческих решений и задач информационного сопряжения взаимодействующих систем. При осуществлении любой ф-ии упр-ия должна обеспечиваться прямая и обратная связь.

Понятие управленческого решения. Управленческое решение - это процесс выработки сценария (программы) действий по решению конкретной задачи или устранения некой проблемной ситуации. Он включает в себя несколько этапов: распознавание и анализ проблемной ситуации; поиск альтернативных вариантов решения; выбор одного из альтернативных вариантов на основе ф-ии; предпочтения; оценка последствий реализации принимаемого решения; док-тальное и организационное оформление и доведение до исполнителей; контроль выполнения и корректировка (при необходимости).

Особенности поиска и принятия решений в КСЗИ. При выборе решений используют две стратегии: алгоритмические и эвристические. Первая предполагает выбор решения за конечное число шагов. Вторая -- набор правил, принципов и приемов, интуитивного характера, кот. позволяют найти решение. Факторы, влияющие на качество принимаемых решений: методический уровень разработки решения; объем, достоверность, оперативность и др. хар-ики инфы; время, необходимое для разработки решения; компетентность субъекта, принимающего решение; уровень подготовки, квалификация и личностные качества субъекта, принимающего решения.

Методы, исп-мые для принятия управл. решений в зав-сти от особ-стей ситуации. В процессе упр-ния для достижения его целей субъект упр-ния воздействует на объект. При этом вид и хар-р воздействия могут быть различными. Поэтому в упр-нии устойчивые и эффективные способы и приемы достижения целей называют методами упр-ия. Мотивации бывают: 1. Властная. 2. Мат-ая 3. Моральная. В сис-ме методов орг-ного упр-ния с учетом мотив. направленности выделяют след. группы: 1. административно-правовые; 2. экономические; 3. социально-психологические. Понятие и основные виды ЧС В контексте проблем обеспечения ЗИ

ЧС можно понимать как комплекс событий, проявление и протекание кот. могут привести к нарушению нормального функ-ия КСЗИ, либо создать условия для проявления очень опасных ДВ, влияющих на защищенность инфы. ЧС можно классифицировать по различным признакам: 1. Масштаб сферы действия: - межгос. ; - общегос. ; - местные; - объектовые. 2. Вид наносимого ущерба: - ЧС с прямым ущербом; - ЧС с косвенным ущербом; - ЧС, представляющие угрозу жизни людей; - ЧС, приводящие к нарушению экологического равновесия, уничтожению мат-ых ресурсов и т. д. З. Временные рамки и динамика развития: - стратегические ЧС; - медленнотекущие ЧС; - ЧС оперативного плана. 4. Вероятность возникновения: - прогнозируемые; - трудно прогнозируемые; - непрогнозируемые. 5. Степень сложности при ликвидации последствий: - легкоустранимые ЧС; - ЧС, требующие определенных временных и ресурсных затрат для ликвидации; - трудноустранимые ЧС,- ЧС, требующие особых ср-тв. Важным требованием к орг-ии упр-ия объектом явл-ся требование учета его особенностей. Требуемое соот-ие орг-ии упр-ия особенностям объекта имеет два аспекта: логический и количественный.

Система упр-ия КСЗИ в условиях ЧС имеет четыре режима: 1. режим повседневной деят-ти 2. режим повышенной готовности 3. чрезвычайный режим Основными причинами запаздывания ответных действий явл-ся: - Инерционность инф-ой системы. - Необходимость проверки и подтверждения достоверности инфы о возникновении ЧС. - Психологические особенности человека. Задачами в условиях ЧС явл-ся: осущ-е оперативной деят-ти по защите объектов, и все действия происходят в режиме реального времени. Режим ликвидации последствий ЧС (характеризуется отсутствием активных поражающих фактов и необходимостью проведения мероприятий по восстановлению нормального функ-ия объекта).

Обеспечение упр-ия КСЗИ в условиях ЧС. Все ситуации, возникающие в процессе функ-ия можно условно разделить на две группы: штатные и нештатные. Среди нештатных ситуаций наиболее опасными явл-ся аварийные и потенциально аварийные. Любая из этих ситуаций требует принятия ответных мер, направленных на: - сокращение комплекса факторов, влияющих на возникновение чрезвычайной ситуации; - защиту людских, инф-ых, мат-ых и др. ресурсов от негативного воздействия, нанесения ущерба и уничтожения; - обеспечение работы объекта во время и после реализации нештатной ситуации.

2. 6. Сущность и содержание контроля функ-ия КСЗИ.

Понятие и виды контроля функ-ия КСЗИ Контроль - это 1) неотъемлемый эл-т любой стадии или ф-ии упр-ия и 2) обособленная функция, обеспечивающая инфу прозрачность для определения качества хода процента упр-ия. Включает в себя 3-и стадии: -установление норм; измерение соответствия фактического состояния параметров этим нормам; коррекция отклонений. Нормы можно выражать в денежных, временных и др. единицах, поддающихся измерению. (%, квоты и т. д. ). Сам процесс контроля может иметь 3 стадии: предварительную, текущую и заключительную. 1-я стадия предварительного контроля осущ-ся до фактического начала работ. Если говорить о кадровой работе, то это предполагает тщательную оценку должностных обязанностей различных категорий сотрудников. Текущий контроль осущ-ся непосред-но в ходе проводимых работ. Чаще всего объектами текущего контроля становятся исполнители, а субъектом- непосред-ный начальник.

Цель проведения контрольных мероприятий в КСЗИ При контроле функ-ия КСЗИ должны осущ-ся мероприятия (цели контроля): -анализ и оценка фактического состояния; -выявление недостатков, нарушений, несоответствия требованиям, что может привести к негативным последствиям для нормального функ-ия; -выявление причин установленных отклонений (несоответствий); -выработка предложений, направленных на устранение недостатков и предотвращение нарушений. Одна из основных задач контроля - квалифицированное опр-е предела допустимых отклонений. В качестве объектов контроля могут выступать: - состояние внутриобъектового режима предприятия- мероприятия по предотвращению НСД, выноса носителей инф-ции за территорию предприятия- уровень знаний требований режима различными категориями сотрудников- качество разработки нормативно-методических и организационно-распорядительных док-ов по обеспечению функ-ия КСЗИ. - работоспособность спец. ср-тв защиты и их систем - акты подмены и несанкц. подключения к оборудованию и линиям связи. Для того, чтобы быть эффективным контроль должен обладать рядом свойств: быть объективным, своевременным, соответствовать хар-ру контролируемого процесса.

Методы контроля Виды контроля определяются, исходя из временных рамок (оперативный, эпизодический, периодический), степени автоматизации контроля (ручной, автоматизированный, автоматический), режима проведения (профилактика, в рабочем режиме), последовательность реализации (системный, последовательный, параллельный), кол-во охватываемых эл-тов (выборочный, сквозной, глобальный), полнота контроля (полный, частичный). В практической деят-ти могут быть использованы различные формы контроля, а именно: проверки, анализы, эксперименты, рассмотрения отчетов, справок. Важнейший эл-т эфф-ти контроля - это самоконтроль. По результатам проверок возможно: устранение причин, изменение состава объекта, отладка технолог процесса, изменение требований по защищенности, изменение правил, избежать негативных ситуаций. Контроль позволяет эффективно и своевременно устранять недостатки в функ-ии и упр-ии КСЗИ.

Особенности проведения контроля функ-ия КСЗИ Процесс контроля условно состоит из 3 этапов: 1. выработка стандартов по обеспечению ЗИ; 2. сравнение стандартов с достигнутыми результатами; 3. проведение необходимых корректирующих действий. В качестве отдельных типовых направлений контроля можно выделить: 1. контроль за соблюдением пропускного и внутриобъектового режимов; 2. контроль соблюдения правил доступа и допуска к защищаемой инфы; 3. контроль своевременного засекречивания, закрытия сведений; 4. контроль наличия носителей защищаемой инфы; 5. контроль за обеспечением безопасности конф мероприятий; 6. контроль обращения док-ов и продукции, содержащих один из видов тайн; 7. контроль уровня знаний сотрудниками предприятия требований защиты; 8. контроль за внедрением и использованием на предприятиях современных СрЗИ; 9. контроль за территорией и т. д. Анализ и использование результатов проведения контрольных мероприятий После оценки степени соответствия достигнутых результатов требуемым стандартам, субъект упр-ия может принимать след-щие решения: ь1. если результат соответствует стандарту, то все остается без изменений; б2. если результат не соответствует стандарту, то либо... либо...: устраняется отклонение; пересматриваются стандарты. Причины отклонения результата от стандартов: 1. плохо организованная деят-ть СлЗИ (несовершенная организационная структура, некачественно разработанные и нормативно-методические док-ты); 2. плохо разработанный план деят-ти СлЗИ; 3. недостаточность выделенных ресурсов; 4. использование устаревших или недостаточных ср-тв и методов ЗИ.

Аудит ИБ - это системный процесс получения объективных качественных и количественных оценок текущего состояния СЗИ в соотв. с критериями ИБ. Аудит ИБ можно разделить на два вида: - экспертный аудит ИБ, в ходе кот. выявл-ся недостатки в системе мер ЗИ на основе опыта экспертов, участвующих в процедуре аудита; - аудит ИБ на соот-ие международному стандарту ISO/IEC 27001: 2005 "Информационные технологии. Методы обеспечения безопасности. Системы менеджмента ИБ. Требования", разработанному Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799-2: 2002 "Системы упр-ия инф-ой безопасностью. Спецификация и руководство по применению". В качестве объекта аудита может выступать как СЗИ орг-ии в целом, так и ее отдельные сегменты, обеспечивающие обработку инфы, кот. подлежит защите. Основные задачи, кот. решаются в ходе проведения аудита ИБ В число задач, кот. решаются в ходе проведения аудита ИБ входят: - сбор и анализ исходных данных об организационной и функциональной структуре ИТС орг-ии, необходимых для оценки состояния ИБ; - анализ существующей политики обеспечения ИБ на предмет полноты и эфф-ти; - анализ инф-ых и технологических рисков связанных с осущ-ем угроз ИБ; - осущ-е тестовых попыток НСД к критически важным узлам ИТС и определение уязвимости в установках защиты данных узлов; - формирование рекомендаций по разработке (или доработке) политики обеспечения ИБ на основании анализа существующего режима ИБ; - формирование предложений по использованию существующих и установке дополнительных СрЗИ для повышения уровня надежности и безопасности ИТС орг-ии.

Цели проведения экспертного аудита ИБ Цель проведения экспертного аудита ИБ -- оценка состояния безопасности ИТС и разработка рекомендаций по применению комплекса организационных мер и программно-ТС, направленных на обеспечение защиты инф-ых и др. ресурсов ИТС от угроз ИБ. Экспертный аудит ИБ явл-ся начальным этапом работ по созданию КСЗИ ИТС. Эта подсистема представляет собой совокупность мер организационного и программно-технического уровня, кот. направлены на защиту инф-ых ресурсов ИТС от угроз ИБ, связанных с нарушением доступности, целостности и конф-ти хранимой и обрабатываемой инфы. Экспертный аудит ИБ позволяет принять обоснованные решения по использованию мер защиты, необходимых для отдельно взятой орг-ии, оптимальных в соотношении их стоимости и возможности осущ-ия угроз нарушения ИБ. Аудит ИБ на соот-ие международному стандарту ISO/IEC 27001: 2005. ISO/IEC 27001: 2005 представляет собой перечень требований к системе менеджмента ИБ (СМИБ), обязательных для серт-ии. Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию док-нной СМИБ в контексте существующих бизнес-рисков орг-ии.

Результаты проведения аудита ИБ на соот-ие международному стандарту ISO/IEC 27001: 2005 Т.о., в результате проведенного аудита на соот-ие международному стандарту ISO/IEC 27001: 2005 Заказчик получает: - описание области деят-ти СМИБ; - методику определения существенных активов; - список (опись, реестр) существенных активов орг-ии и их ценность (критичность); - методику оценки рисков; - отчет по оценке рисков; - критерии для принятия рисков; - заявление о принятии (одобрении) остаточных рисков; - план обработки рисков; - список политик, руководств, процедур, инструкций, необходимых для функ-ия СМИБ орг-ии. Рекомендации по их разработке.

3. 1. Особенности правовой защиты ГТ.

ГТ - защищаемые государством свед-я в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деят-ти, распространение кот. может нанести ущерб безопасности РФ. Вопрос регулируется: Конституция, з-н "О безопасности", з-н "О гос. тайне", др. акты, Связанные с защитой ГТ. Отнесение сведений к ГТ и их засекречивание осущ-ся в соотв. с принципами законности, обоснованности и своевременности. Срок засекречивания сведений не больше 30 лет.

Отнесение сведений к ГТ осущ-ся в соотв. с Перечнем сведений, сост. ГТ, руководителями органов гос. власти. МВК по защите ГТ формирует по предложениям органов гос. власти Перечень. В этом Перечне указываются органы гос. власти, наделяемые полномочиями по распоряжению данными свед-ями. Перечень утверждается Президентом, подлежит открытому опубликованию и пересматривается по мере необходимости. В соотв. с Перечнем разрабатываются развернутые перечни сведений, подлежащих засекречиванию.

Степень секретности сведений, сост. ГТ, должна соответствовать степени тяжести ущерба, вследствие распространения этих сведений. Степени и грифы: "особой важности", "совершенно секретно" и "секретно".

При передаче сведений, сост. ГТ, органы власти и орг-ии, кот. передаются свед-я, должны обеспечить защиту сведений. Они должны иметь лицензию на проведение работ со свед-ями соотв. степени секретности. Решение о передаче сведений, сост. ГТ, другим государствам или международным орг-иям принимается Правительством при наличии экспертного заключения МВКЗГТ о возможности передачи этих сведений. Обязательства принимающей стороны по защите регламентируются договором (соглашением). Мат-ый ущерб, наносимый собственнику инфы в связи с ее засекречиванием, возмещается государством. Заключается договор, в кот. предусматриваются обязательства собственника инфы по ее нераспространению. При отказе собственника от подписанного договора он предупреждается об ответственности за несанкц-ое распространение сведений.

К органам защиты ГТ относятся: МВКЗГТ; фед. органы исполнительной власти, уполномоченные в области обеспечения безопасности, в области обороны, в области внешней разведки, в области противодействия техническим разведкам и технической ЗИ, и их территориальные органы; органы гос. власти, предприятия, учреждения и орг-ии и их структурные подразделения по защите ГТ. Контроль за обеспечением защиты ГТ осущ-ют Президент РФ, Правительство РФ в пределах полномочий, определяемых Конституцией РФ, фед-ыми конституционными законами и ФЗ. Межведомственный контроль за обеспечением защиты ГТ в органах гос. власти, на предприятиях, в учреждениях осущ-ют фед. органы исполнительной власти, уполномоченные в области обеспечения безопасности, в области обороны, в области внешней разведки, в области противодействия техническим разведкам и технической ЗИ, и их территориальные органы.

Органы гос. власти, наделенные полномочиями по распоряжению свед-ями, состав-ими ГТ, обязаны контролировать эфф-ть защиты во всех подчиненных им органах, предприятиях, учреждениях. Контроль за обеспечением защиты ГТ в Администрации Президента РФ, в аппаратах палат Фед-го Собрания, Правительства РФ организуется их руководителями. Контроль за обеспечением защиты ГТ в судебных органах и органах прокуратуры организуется руководителями этих органов. Надзор за соблюдением законодательства при обеспечении защиты ГТ и законностью принимаемых при этом решений осущ-ют Генеральный прокурор РФ и подчиненные ему прокуроры. Уголовная ответственность за разглашение ГТ - ст. 283,284 УК РФ.

3. 2. Особенности правовой защиты служ. тайны

Федеральных законов, кот. регулировали бы отношения по поводу сведений, сост. СТ, нет. Есть многочисленные упоминания о СТ в различных законодательных актах: ФЗ об инфы, ИТ и ЗИ, ТК, УК, ФЗ О гос. гражданской службе РФ (ст. 17, 24, 37) и др. Единственным док-том, регламентирующим служебную инфу, явл-ся "Положение о порядке обращения со служ. инфой в федеральных органах исполнительной власти" (1994) СТ - защищаемая по закону конф инфа, ставшая известной в гос. органах только на законных основаниях и в силу исполнения их представителей служебных обязанностей, а также служебная инфа о деят-ти любого гос. органа, доступ к которой ограничен либо ФЗ, либо служ. необходимости. Обладатели: фед. органы исполнительной власти, подведомственные им предприятия, учреждения и орг-ии. Объекты защиты: инфа служебного характера, выраженная в док-нной форме.

Меры по охране конф-ти инфы огр. доступа, переданной в гос. органы юр. и физ. лицами. Правовая охрана начинается с момента получения этих сведений в связи с исполнением обязанностей по службе в порядке и в случаях, установленных ФЗ. Защита прав госорганов в отношении СТ должна осущ-ся в порядке, аналогичном для ГТ. Положение Правительства РФ от 3 ноября 1994 г. N 1233 определяет Порядок обращения с док-ми, содержащими с. и.: 2. 1. Необходимость проставления пометки "Для служебного пользования" определяется исполнителем и должностным лицом. 2. 3. Док-ты с пометкой "ДСП": печатаются в машбюро. 2. 5. Исполненные док-ты с пометкой "ДСП" группируются в дела в соотв. с номенклатурой дел несекретного делопроизводства. 2. 6. Уничтожение дел, док-ов производится по акту. 2. 7. Передача док-ов и дел с пометкой "ДСП" осущ-ся с разрешения руководителя. 2. 8. При смене работника, ответственного за учет док-ов с пометкой "ДСП", составляется акт приемки-сдачи этих док-ов. 2. 9. Проверка наличия док-ов, дел и изданий с пометкой "ДСП" проводится не реже одного раза в год комиссиями, назначаемыми приказом руководителя. 2. 10. О фактах утраты док-ов содержащих служебную инфу, либо разглашения этой инфы ставится в известность руководитель орг-ии и назначается комиссия для расследования. 2. 11. При снятии пометки "ДСП" на док-тах делаются соот-ие отметки и информируются все адресаты, кот. эти док-ты направлялись.

Полномочия руководителя фед-го органа в отношении использования собственной СТ. Руководитель фед. органа исп. власти определяет: категории должн. лиц, уполномоченных относить сл. инфу к разряду огр. распространения; порядок передачи служ. инфы огранич. распространения другим органам и орг-иям; порядок снятия пометки "ДСП " с носителей; организацию защиты служ. инфы. Должностные лица, принявшие решение об отнесении служ. инфы к разряду огр. распространения, несут персональную ответственность. В отношении собственной сл. т. федер госорганы и их руководители должны иметь след права: устанавливать различные режимы охраны сл. т. и сроки их действия для сведений, доступ к кот. ограничен ФЗ, а также ограничен должн. лицами в силу сл. необходимости, разрешать\прекращать допуск граждан и организаций к этим свед-ям, распоряжаться свед-ями, состав-ими сл. т., требовать защиты сведений, сост. сл. т от всех лиц, кому эта и-я стала известна на законных основаниях, требовать серт-ии СрЗИ на соот-ие требованиям, требовать привлечения лиц, виновных в разглашении сл. т. к дисципл., административной или уголовной ответственности.

3. 3. Особенности правовой защиты служ. тайны

КТ - режим конф-ти инфы, позволяющий ее обладателю увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Правовые основы защиты коммерческой тайны: ГК, ФЗ РФ "О коммерческой тайне", др. ФЗ. Режим коммерческой тайны считается установленным после принятия обладателем инфы, сост. КТ, мер: определить перечень инфы, составляющей тайну, установить порядок обращения с этой инфой и порядок контроля за его соблюдением; вести учет лиц, кот. имеют доступ к этой инфы или кот. она была передана; урегулировать договорные отношения с контрагентами и своими сотрудниками; нанести на мат-ые носители гриф "КТ".

Охрана КТ в трудовых отношениях. 1. В целях охраны конфид-ти инфы работодатель обязан: ознакомить под расписку работника с Перечнем; ознакомить под расписку работника с установленным режимом КТ и с мерами ответственности за его нарушение; создать работнику необходимые условия для соблюдения им установленного режима. 2. Доступ работника к инфы, составляющей КТ, осущ-ся с его согласия, 3. В целях охраны конф-ти инфы работник обязан: выполнять установленный работодателем режим КТ; не разглашать инфу, составляющую КТ не использовать эту инфу в личных целях; не разглашать инфу, составляющую КТ, после прекращения трудового договора в течение опред. срока или в течение трех лет после прекращения трудового договора, если соглашение не заключалось; возместить причиненный работодателю ущерб, если работник виновен в разглашении КТ; передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника мат-ые носители инфы, содержащие инфу, составляющую КТ. 4. Работодатель вправе потребовать возмещения причиненных убытков лицом, прекратившим с ним трудовые отношения, в случае, если это лицо виновно в разглашении инфы, составляющей КТ, если разглашение последовало в течение срока, оговоренного выше. 5. Причиненные ущерб, убытки не возмещаются работником или прекратившим трудовые отношения лицом, если разглашение инфы явилось следствием непреодолимой силы, крайней необходимости или неисполнения работодателем обязанности по обеспечению режима КТ. 6. Трудовым договором с руководителем орг-ии должны предусматриваться его обязательства по обеспечению охраны конфид-ти инфы. 7. Руководитель орг-ии возмещает орг-ии убытки, причиненные его виновными действиями 8. Работник имеет право обжаловать в судебном порядке незаконное установление режима КТ.

Практические аспекты использования законодательства о коммерческой тайне. Если в уставе орг-ии прописан режим КТ, то при нарушении режима КТ третьими лицами, собственник инфы может обратиться в суд, в установленном порядке, на основании ФЗ "О КТ".

Особенности правовой охраны секретов производства (ноу-хау) в режиме КТ. Секретом производства (ноу-хау) - свед-я любого характера (производственные, технические, экономические, организационные и др.), в тч о результатах интел-ой деят-ти в научно-технической сфере, а также свед-я о способах осущ-ия проф-ой деят-ти, кот. имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к кот. у третьих лиц нет свободного доступа на законном основании и в отношении кот. обладателем таких сведений введен режим КТ. Обладателю секрета производства принадлежит ИП использования его любым не противоречащим закону способом (ИП на секрет производства). Лицо, ставшее добросовестно и независимо от др. обладателем сведений, сост. содержание охраняемого секрета производства, приобретает самостоятельное ИП на этот секрет производства. ИП на секрет производства действует до тех пор, пока сохраняется конф-ть сведений, сост. его содержание. С момента утраты конф-ти соответствующих сведений ИП на секрет производства прекращается.

Договор об отчуждении ИП на секрет производства 1. По договору об отчуждении ИП на секрет производства одна сторона (правообладатель) передает или обязуется передать ИП на секрет производства в полном объеме другой стороне - приобретателю ИП на этот секрет производства. 2. При отчуждении ИП на секрет производства лицо, распорядившееся своим правом, обязано сохранять конф-ть секрета производства до прекращения действия ИП.

Лицензионный договор о предоставлении права использования секрета производства 1. По лицензионному договору одна сторона - обладатель ИП на секрет производства (лицензиар) предоставляет другой стороне (лицензиату) право использования соотв. секрета производства в установленных договором пределах. 2. Лицензионный договор может быть заключен как с указанием, так и без указания срока его действия. В случае, когда срок не указан, любая из сторон вправе в любое время отказаться от договора, предупредив об этом не позднее чем за шесть месяцев, если договором не предусмотрен более длительный срок. 3. При предоставлении права использования секрета производства лицо, распорядившееся своим правом, обязано сохранять конф-ть секрета производства в течение всего срока действия лицензионного договора. Служебный секрет производства 1. ИП на секрет производства, созданный работником в связи с выполнением своих трудовых обязанностей, принадлежит работодателю. 2. Гражданин, кот. в связи с выполнением своих трудовых обязанностей стал известен секрет производства, обязан сохранять конф-ть полученных сведений до прекращения действия ИП на секрет производства.

Секрет производства, полученный при выполнении работ по договору В случае, когда секрет производства получен при выполнении договора, ИП на такой секрет производства принадлежит подрядчику (исполнителю), если соотв. договором не предусмотрено иное. В случае, когда секрет производства получен при выполнении работ по договору, заключаемому главным распорядителем или распорядителем бюджетных ср-тв с фед-ми гос. и учреждениями, ИП на такой секрет производства принадлежит подрядчику (исполнителю), если договором не установлено, что это право принадлежит РФ. Нарушение ФЗ о КТ влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соотв. с законодательством РФ.

3. 4. Особенности правовой защиты ПД.

Согласно закону N152 "О ПД", ПД - любая инфа, относящаяся к опред. или определяемому на основании такой инфы физ. лицу (субъекту ПД), в тч его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая инфа. Правовые основы защиты ПД: Конституция РФ, закон "О ПД", международные соглашения, руководящие док-ты ФСТЭК и ФСБ, постановления правительства, приказы, указы президента и тд.

Неприкосновенность частной жизни - одно из основных конституционных личных прав человека; означает охрану законом личной и семейной тайны. Гарантируется ст. Конституции РФ 23 и 24. Право на неприкосновенность частной жизни (составное понятие ПД) включает: запрет на сбор, хранение, использование и распространение инфы о частной жизни лица без его согласия; право контролировать инфу о себе; право на защиту чести и доброго имени; право на защиту ПД; право на тайну связи (иногда оформлено как отдельное право); право на неприкосновенность жилища (иногда оформлено как отдельное право); врачебную тайну, тайну усыновления, тайну исповеди и др. виды проф-ой тайны. В целях информационного обеспечения могут создаваться общедоступные источники ПД (в тч справочники, адресные книги). В общедоступные источники ПД с письменного согласия субъекта ПД могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, свед-я о профессии и иные ПД, предоставленные субъектом ПД. Свед-я о субъекте ПД по его требованию, либо по решению суда могут быть в любое время исключены из общедоступных источников ПД.

К спец-ым категориям свед-ям ПД относятся свед-я о: Расовой, национальной принадлежности, Политических, религиозных и философских убеждениях, Состоянии здоровья, Интимной жизни, Обработка данных сведений не допускается.

Исключаются случаи: субъект ПД дал согласие в письменной форме на обработку своих ПД; ПД явл-ся общедоступными; ПД относятся к состоянию здоровья субъекта ПД и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов др. лиц, и получение согласия субъекта ПД невозможно; обработка ПД необходима в связи с осущ-ем правосудия; обработка ПД осущ-ся в соотв. с законодательством РФ о безопасности, об оперативно-розыскной деят-ти, а также в соотв. с уголовно-исполнительным законодательством РФ. Свед-я, кот. хар-ют физиологические особенности человека и на основе кот. можно установить его личность (биометрические ПД), могут обрабатываться только при наличии согласия в письменной форме субъекта ПД. Обработка биометрических ПД может осущ-ся без согласия субъекта ПД: в связи с осущ-ем правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, об оперативно-розыскной деят-ти, о гос. службе, уголовно-исполнительным законодательством, законодательством РФ о порядке выезда из РФ и въезда в РФ.

Субъект ПД имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора ПД, а также на ознакомление со своими ПД. Субъект ПД вправе требовать от оператора уточнения своих ПД, их блокирования или уничтожения в случае, если ПД явл-ся неполными, устаревшими, недостоверными, незаконно полученными или не явл-ся необходимыми для заявленной цели обработки.

Право субъекта ПД на доступ к своим ПД ограничивается в случае, если: обработка ПД, в тч ПД, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деят-ти, осущ-ся в целях обороны страны, безопасности государства и охраны правопорядка; обработка ПД осущ-ся органами, осуществившими задержание субъекта ПД по подозрению в совершении преступления, либо предъявившими субъекту ПД обвинение по уголовному делу, либо применившими к субъекту ПД меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; предоставление ПД нарушает конституционные права и свободы др. лиц. Оператор обязан сообщить субъекту ПД или его законному представителю инфу о наличии ПД, относящихся к соотв. субъекту, а также предоставить возможность ознакомления с ними при обращении субъекта ПД или его законного представителя в течение десяти рабочих дней с даты получения запроса субъекта ПД или его законного представителя.

Обязанности оператора ПД: предоставление по просьбе субъекта ПД инфы о факте обработки его ПД, целях, способах обработки, сроках обработки и др, возможности ознакомления со своими ПД, обрабатываемыми оператором, внесение изменений в ПД субъекта по его запросу, уведомление субъекта о факте изменения его ПД, в случае отказа в предоставлении субъекту инфы о его ПД дать в письменной форме мотивированный ответ в течение недели со дня обращения субъекта. Разъяснить субъекту ПД юридические последствия отказа предоставить свои ПД, если предоставление ПД обязательно по закону. Если ПД были получены не от субъекта ПД, оператор до начала обработки ПД обязан предоставить субъекту ПД инфу: наименование и адрес оператора или его представителя; цель обработки ПД и ее правовое основание; предполагаемые пользователи ПД; установленные права субъекта ПД.

Оператор при обработке ПД обязан: принимать необходимые организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения. сообщить в уполномоченный орган по защите прав субъектов ПД по его запросу инфу, необходимую для осущ-ия деят-ти органа, в течение семи рабочих дней с даты получения такого запроса. Устранение фактов нарушения законодательства о ПД при обработке ПД, в случае невозможности устранения нарушений - уничтожить ПД. Блокировать ПД при обращении субъекта или в случае выявления недостоверности ПД или неправомерных действий с ПД Уточнение ПД в случае выявления их недостоверности и дальнейшее снятие блокирования ПД. Прекращение обработки ПД и уничтожение ПД в случае достижения цели обработки ПД В случае отзыва субъектом ПД согласия на обработку своих ПД оператор обязан прекратить обработку ПД и уничтожить ПД Оператор до начала обработки ПД обязан уведомить уполномоченный орган по защите прав субъектов ПД о своем намерении осуществлять обработку ПД. Классификация инф. систем ПД определяется Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации инф-ых систем ПД". Проведение классификации инф-ых систем включает в себя след-щие этапы: сбор и анализ исходных данных по инф-ой системе, присвоение инф-ой системе соотв. класса и его оформление. По результатам анализа исходных данных типовой инф-ой системе присваивается один из классов.

3. 5. Правовое регулирование отношений в сфере авторского права.

АП: интеллектуальные права на произведения науки, литературы и искусства независимо от способа его выражения. К объектам АП также относятся программы для ЭВМ, кот. охраняются как литературные произведения. Автору произведения принадлежат след-щие права: ИП на произведение; право авторства (право признаваться автором произведения); право автора на имя (право использовать или разрешать использовать произведение под подлинным своим именем, псевдонимом либо без обозначения имени, т.е. анонимно); право на неприкосновенность произведения; право на обнародование произведения (право обнародовать или разрешать обнародовать произведение в любой форме, в тч право отозвать произведение, которое автор ранее разрешил обнародовать). АП возникает автоматически с момента создания.

Исключительное право (ИП) на произведения науки, литературы и искусства распространяется: на произведения, обнародованные на территории РФ или необнародованные, но находящиеся в какой-либо объективной форме на территории РФ, и признается за авторами (их правопреемниками) независимо от их гражданства; на произведения, обнародованные за пределами территории РФ или необнародованные, но находящиеся в какой-либо объективной форме за пределами территории РФ, и признается за авторами, являющимися гражданами РФ (их правопреемниками); на произведения, обнародованные за пределами территории РФ или необнародованные, но находящиеся в какой-либо объективной форме за пределами территории РФ, и признается на территории РФ за авторами (их правопреемниками) - гражданами др. государств и лицами без гражданства.

К объектам АП относятся: производные произведения; составные произведения. АП распространяются как на обнародованные, так и на необнародованные произведения, выраженные в какой-либо объективной форме, в тч в письменной, устной форме (в виде публичного произнесения, публичного исполнения и иной подобной форме), в форме изображения, в форме звуко- или видеозаписи, в объемно-пространственной форме. Для возникновения, осущ-ия и защиты АП не требуется регистрация произведения или соблюдение каких-либо иных формальностей. В отношении программ для ЭВМ и баз данных возможна регистрация, осуществляемая по желанию правообладателя. АП не распространяются на идеи, концепции, принципы, методы, процессы, системы, способы, решения тех-их, организационных или иных задач, открытия, факты, языки программирования.

Автору произведения или иному правообладателю принадлежит ИП использовать произведение (в соотв. со статьей 1229 ГК РФ) в любой форме и любым не противоречащим закону способом (ИП на произведение). Правообладатель может распоряжаться ИП на произведение. Использование произведения независимо от того, совершаются ли соот-ие действия в целях извлечения прибыли или без такой цели: воспроизведение произведения, распространение произведения, публичный показ произведения, прокат оригинала или экземпляра произведения (только не в отношении программы для ЭВМ за искл. случаев, когда такая программа явл. осн. объектом права), публичное исполнение произведения, перевод или другая переработка произведения, практическая реализация архитектурного, дизайнерского, градостроительного или садово-паркового проекта.

ИП на произведение действует в течение всей жизни автора и 70 лет, считая с 1 января года, следующего за годом смерти автора. ИП на произведение, созданное в соавторстве, действует в течение всей жизни автора, пережившего др. соавторов, и 70 лет, считая с -//-. На произведение, обнародованное анонимно или под псевдонимом, срок действия ИП истекает через семьдесят лет, считая с -//- его обнародования. Если в течение указанного срока автор произведения, обнародованного анонимно или под псевдонимом, раскроет свою личность или его личность не будет далее оставлять сомнений, ИП будет действовать в течение срока, указанного выше.

ИП на произведение, обнародованное после смерти автора, действует в течение семидесяти лет после обнародования произведения, считая с 1 -//- его обнародования, при условии, что произведение было обнародовано в течение 70 лет после смерти автора. Если автор произведения был репрессирован и посмертно реабилитирован, срок действия ИП считается продленным и семьдесят лет исчисляются с 1 января года, следующего за годом реабилитации автора произведения.

Если автор работал во время ВОВ или участвовал в ней, срок действия ИП увеличивается на 4 года. По истечении срока действия ИП произведение, как обнародованное, так и необнародованное, переходит в общественное достояние. Произведение, перешедшее в общественное достояние, может свободно использоваться любым лицом без чьего-либо согласия или разрешения и без выплаты авторского вознаграждения. При этом охраняются авторство, имя автора и неприкосновенность произведения. Перешедшее в общественное достояние необнародованное произведение может быть обнародовано любым лицом, если только обнародование произведения не противоречит воле автора. ИП на произведение переходит по наследству.

ИП на служебное произведение принадлежит работодателю, если не предусмотрено иное. Если работодатель в течение трех лет со дня, когда служебное произведение было предоставлено в его распоряжение, не начнет использование этого произведения, не передаст ИП на него другому лицу или не сообщит автору о сохранении произведения в тайне, ИП на служебное произведение принадлежит автору. Если работодатель в срок начнет использование служебного произведения или передаст ИП другому лицу, автор имеет право на вознаграждение.

3. 6. Правовое регулирование отношений в сфере прав, смежных с авторскими (смежные права)

Смежные права - это интеллектуальные права на результаты исполнительской деят-ти (исполнения), на фонограммы, на сообщение в эфир или по кабелю радио- и телепередач (вещание организаций эфирного и кабельного вещания), на содержание баз данных, а также на произведения науки, литературы и искусства, впервые обнародованные после их перехода в общественное достояние. К смежным правам относится ИП, а также личные неимущественные права, предусмотренные 4 частью ГК РФ.

Права на исполнение: Исполнителем признается гражданин, творческим трудом кот. создано исполнение, - артист-исполнитель, а также режиссер-постановщик спектакля и дирижер.

Смежные права на совместное исполнение принадлежат совместно принимавшим участие в его создании членам коллектива исполнителей независимо от того, образует такое исполнение неразрывное целое или состоит из эл-тов, каждый из кот. имеет самостоятельное значение. Смежные права на совместное исполнение осущ-ся руководителем коллектива исполнителей, а при его отсутствии - членами коллектива исполнителей совместно. Если совместное исполнение образует неразрывное целое, ни один из членов коллектива исполнителей не вправе без достаточных оснований запретить его использование. Эл-т совместного исполнения, использование кот. возможно независимо от др. эл-тов может быть использован создавшим его исполнителем по своему усмотрению. Доходы от совместного использования результата интел-ой деят-ти или ср-ва индивидуализации распределяются между всеми правообладателями поровну, если соглашением между ними не предусмотрено иное. Каждый из членов коллектива исполнителей вправе самостоятельно принимать меры по защите своих смежных прав на совместное исполнение, в тч в случае, когда такое исполнение образует неразрывное целое.

Исполнителю принадлежат: ИП на исполнение; право авторства - право признаваться автором исполнения; право на имя; право на неприкосновенность исполнения (от искажения).

Исполнители осущ-ют свои права с соблюдением прав авторов исполняемых произведений. Права исполнителя признаются и действуют независимо от наличия и действия АП на исполняемое произведение.

ИП на исполнение

Исполнителю принадлежит ИП использовать исполнение любым не противоречащим закону способом (ИП на исполнение). Использованием исполнения считается: сообщение в эфир; сообщение по кабелю; запись исполнения; воспроизведение записи исполнения, то есть изготовление одного и более экземпляра фонограммы либо ее части; распространение записи исполнения; действие, осуществляемое в отношении записи исполнения и предусмотренное подпунктами 1 и 2; доведение записи исполнения до всеобщего свед-я т.о., что любое лицо может получить доступ к записи исполнения из любого места и в любое время по собственному выбору; публичное исполнение записи исполнения; прокат оригинала или экземпляров записи исполнения.

1. ИП на исполнение действует в течение всей жизни исполнителя, но не менее 50лет, считая с 1 января года, следующего за годом, в кот. осуществлены исполнение, либо запись исполнения, либо сообщение исполнения в эфир или по кабелю. 2. Если исполнитель был репрессирован и посмертно реабилитирован, срок действия ИП считается продленным, и пятьдесят лет исчисляются с 1 января года, следующего за годом реабилитации исполнителя. 3. Если исполнитель работал во время ВОВ или участвовал в ней, срок действия ИП, установленный пунктом 1 настоящей статьи, продлевается на четыре года. 4. К переходу ИП на исполнение по наследству применяются правила статьи 1283 ГК (Авт. право). 5. По истечении срока действия ИП на исполнение это право переходит в общественное достояние.

ИП на исполнение действует на территории РФ в случаях, когда исполнитель явл-ся гражданином РФ; исполнение впервые имело место на территории РФ.

Изготовителем фонограммы признается лицо, взявшее на себя инициативу и ответственность за первую запись звуков исполнения или др. звуков либо отображений этих звуков. При отсутствии доказательств иного изготовителем фонограммы признается лицо, имя или наименование кот. указано обычным образом на экземпляре фонограммы и (или) его упаковке.

Изготовителю фонограммы принадлежат: ИП на фонограмму; право на указание на экземплярах фонограммы и (или) их упаковке своего имени или наименования; право на защиту фонограммы от искажения при ее использовании; право на обнародование фонограммы. Изготовитель фонограммы осуществляет свои права с соблюдением прав авторов произведений и прав исполнителей. Права изготовителя фонограммы признаются и действуют независимо от наличия и действия АП и прав исполнителей. Право на указание на экземплярах фонограммы и (или) их упаковке своего имени или наименования и право на защиту фонограммы от искажения действуют и охраняются в течение всей жизни гражданина либо до прекращения юридического лица, являющегося изготовителем фонограммы.

Использованием фонограммы считается: 1) публичное исполнение; 2) сообщение в эфир; 3) сообщение по кабелю; 4) доведение фонограммы до всеобщего свед-я; 5) воспроизведение; 6) распространение фонограммы; 7) импорт оригинала или экземпляров; 8) прокат оригинала и экземпляров фонограммы; 9) переработка фонограммы. Лицо, правомерно осуществившее переработку фонограммы, приобретает смежное право на переработанную фонограмму. ИП на фонограмму действует в течение 50лет, считая с 1 января года, следующего за годом, в кот. была осуществлена запись. В случае обнародования фонограммы ИП действует в течение пятидесяти лет, считая с 1 января года, следующего за годом, в кот. она была обнародована при условии, что фонограмма была обнародована в течение пятидесяти лет после осущ-ия записи. К наследникам и другим правопреемникам изготовителя фонограммы ИП на фонограмму переходит в пределах оставшейся части сроков, указанных в пункте 1. По истечении срока действия ИП на фонограмму она переходит в общественное достояние. ИП на фонограмму действует на территории РФ в случаях, когда: изготовитель фонограммы явл-ся гражданином РФ или российским юридическим лицом; фонограмма обнародована или ее экземпляры впервые публично распространялись на территории РФ; в иных случаях, предусмотренных международными договорами РФ.

Организацией эфирного или кабельного вещания признается юрлицо, осущ-ее сообщение в эфир или по кабелю радио- или телепередач (совокупности звуков и (или) изображений или их отображений).

Использованием сообщения радио- или телепередачи (вещания) считается: 1) запись сообщения радио- или телепередачи; 2) воспроизведение записи сообщения радио- или телепередачи; 3) распространение сообщения радио- или телепередачи путем продажи либо иного отчуждения оригинала или экземпляров записи сообщения радио- или телепередачи; 4) ретрансляция; 5) доведение сообщения радио- или телепередачи до всеобщего свед-я; 6) публичное исполнение.

Орг-ии эфирного и кабельного вещания осущ-ют свои права с соблюдением прав авторов произведений, прав исполнителей, а в соответствующих случаях - обладателей прав на фонограмму и прав др. организаций эфирного и кабельного вещания на сообщения радио- и телепередач. 1. ИП на сообщение радио- или телепередачи действует в течение 50лет, считая с 1 января года, следующего за годом, в кот. имело место сообщение радио- или телепередачи в эфир или по кабелю. 2. К правопреемникам орг-ии эфирного или кабельного вещания ИП на сообщение радио- или телепередачи переходит в пределах оставшейся части срока, указанного в пункте 1. 3. По истечении срока действия ИП на сообщение радио- или телепередачи оно переходит в общественное достояние. ИП на сообщение радио- или телепередачи действует на территории РФ, если орг-ия эфирного или кабельного вещания имеет место нахождения на территории РФ и осуществляет сообщение с помощью передатчиков, расположенных на территории РФ, а также в иных случаях, предусмотренных международными договорами.

Изготовителем базы данных признается лицо, организовавшее создание базы данных и работу по сбору, обработке и расположению сост. ее материалов. При отсутствии доказательств иного изготовителем базы данных признается гражданин или юрлицо, имя или наименование кот. указано обычным образом на экземпляре базы данных и (или) его упаковке. Изготовителю базы данных принадлежат: ИП изготовителя базы данных; право на указание на экземплярах базы данных и (или) их упаковках своего имени или наименования. ИП изготовителя базы данных возникает в момент завершения ее создания и действует в течение 15лет, считая с 1 января года, следующего за годом ее создания. ИП изготовителя базы данных, обнародованной в указанный период, действует в течение пятнадцати лет, считая с 1 января года, следующего за годом ее обнародования. Сроки возобновляются при каждом обновлении базы данных. ИП изготовителя базы данных действует на территории РФ в случаях, когда: изготовитель базы данных явл-ся гражданином РФ или российским юридическим лицом; изготовитель базы данных явл-ся иностранным гражданином или иностранным юридическим лицом при условии, что законодательством соотв. иностранного государства предоставляется на его территории охрана исключительному праву изготовителя базы данных, изготовителем которой явл-ся гражданин РФ или российское юрлицо; в иных случаях, предусмотренных международными договорами. Если изготовитель базы данных явл-ся лицом без гражданства, в зависимости от того, имеет это лицо место жительства на территории РФ или иностранного государства, соответственно применяются правила пункта 1, относящиеся к гражданам РФ или иностранным гражданам.

Право публикатора на произведение науки, литературы или искусства Публикатором признается гражданин, кот. правомерно обнародовал или организовал обнародование произведения науки, литературы или искусства, ранее не обнародованного и перешедшего в общественное достояние либо находящегося в общественном достоянии в силу того, что оно не охранялось авторским правом. Права публикатора распространяются на произведения, кот. независимо от времени их создания могли быть признаны объектами авторского права. Положения, предусмотренные настоящим параграфом, не распространяются на произведения, находящиеся в гос. и муниципальных архивах. Публикатору принадлежат: 1) ИП публикатора на обнародованное им произведение; 2) право на указание своего имени на экземплярах обнародованного им произведения и в иных случаях его использования, в тч при переводе или другой переработке произведения. Публикатор в течение срока действия ИП публикатора на произведение обладает правом неприкосновенности произведения (базы данных) и защите произведения от искажения.

ИП публикатора на произведение возникает в момент обнародования этого произведения и действует в течение 25 лет, считая с 1 января года, следующего за годом его обнародования. 1. ИП публикатора распространяется на произведение: обнародованное на территории РФ, независимо от гражданства публикатора; обнародованное за пределами территории РФ гражданином РФ; обнародованное за пределами территории РФ иностранным гражданином или лицом без гражданства, при условии, что законодательством иностранного государства, в кот. обнародовано произведение, предоставляется на его территории охрана исключительному праву публикатора, являющегося гражданином РФ; в иных случаях, предусмотренных международными договорами.

Знак правовой охраны смежных прав:

Изготовитель фонограммы и исполнитель, а также иной обладатель ИП на фонограмму или исполнение вправе для оповещения о принадлежащем ему исключительном праве использовать знак охраны смежных прав, кот. помещается на каждом оригинале или экземпляре фонограммы и (или) на каждом содержащем ее футляре и состоит из трех эл-тов - латинской буквы "P" в окружности, имени или наименования обладателя ИП, года первого опубликования фонограммы.

Орг-ии, осущ-ие коллективное упр-ие авторскими и смежными правами и правовые основы: Авторы, исполнители, изготовители фонограмм и иные обладатели авторских и смежных прав могут создавать основанные на членстве некоммерческие орг-ии по управлению правами на коллективной основе. Создание таких организаций не препятствует осущ-ию представительства обладателей авторских и смежных прав другими юр. лицами и гражданами. Основанием полномочий орг-ии по управлению правами на коллективной основе явл-ся договор о передаче полномочий по управлению правами, заключаемый такой организацией с правообладателем в письменной форме. Указанный договор может быть заключен с правообладателями, являющимися членами такой орг-ии, и с правообладателями, не являющимися ее членами. При этом орг-ия по управлению правами на коллективной основе обязана принять на себя упр-ие этими правами, если упр-ие такой категорией прав относится к уставной деят-ти этой орг-ии. Основанием полномочий орг-ии по управлению правами на коллективной основе может быть также договор с другой организацией, в тч иностранной, управляющей правами на коллективной основе.

3. 7. Правовое регулирование отношений в сфере патентного права

Патентные права - интеллектуальные права на изобретения, полезные модели и промышленные образцы. Автором изобретения, полезной модели или промышленного образца признается гражданин, творческим трудом кот. создан соотв. результат интел-ой деят-ти. Лицо, указанное в качестве автора в заявке на выдачу патента считается автором изобретения, если не доказано иное.

Граждане, создавшие изобретение, полезную модель или промышленный образец совместным творческим трудом, признаются соавторами. Каждый из соавторов вправе использовать изобретение, полезную модель или промышленный образец по своему усмотрению, если соглашением между ними не предусмотрено иное.

Пате?нт -- охранный док-т, удостоверяющий ИП, авторство и приоритет изобретения, полезной модели либо промышленного образца. В качестве изобретения охраняется техническое решение в любой области, относящееся к продукту (в частности, уст-тву, веществу, штамму микроорганизма, культуре клеток) или способу. Изобретению предоставляется правовая охрана, если оно явл-ся новым, имеет изобретательский уровень и промышленно применимо. В качестве полезной модели охраняется техническое решение, относящееся к уст-тву. Полезной модели предоставляется правовая охрана, если она явл-ся новой и промышленно применимой. В качестве промышленного образца охраняется художественно-конструкторское решение изделия промышленного или кустарно-ремесленного производства, определяющее его внешний вид. Промышленному образцу предоставляется правовая охрана, если по своим существенным признакам он явл-ся новым и оригинальным. Право авторства неотчуждаемо и непередаваемо, в тч при передаче другому лицу или переходе к нему ИП на изобретение, полезную модель или промышленный образец и при предоставлении другому лицу права его использования. Право на получение патента первоначально принадлежит автору. Право может перейти к другому лицу (правопреемнику) или быть ему передано в случаях и по основаниям, кот. установлены законом. Договор об отчуждении права на получение патента дб заключен в письменной форме. Патентообладателю принадлежит ИП использования изобретения, полезной модели или промышленного образца любым не противоречащим закону способом. Патентообладатель может распоряжаться ИП. Использованием изобретения, полезной модели или промышленного образца считается, в частности: ввоз на территорию РФ, изготовление, применение, предложение о продаже, продажа, иное введение в гражданский оборот или хранение для этих целей продукта, в кот. использованы изобретение или полезная модель, либо изделия, в кот. использован промышленный образец.

Срок действия ИП и удостоверяющего это право патента исчисляется со дня подачи первоначальной заявки на выдачу патента в фед. орган исполнительной власти по интел-ой собственности и при условии соблюдения требований, установленных ГК РФ, составляет: двадцать лет (+ 15 лет) - для изобретений; десять лет (+3 года) - для полезных моделей; пятнадцать лет (+10 лет) - для промышленных образцов. Защита ИП, удостоверенного патентом, может быть осуществлена лишь после гос. регистрации изобретения и выдачи патента.

По договору об отчуждении ИП на изобретение одна сторона (патентообладатель) передает или обязуется передать принадлежащее ей ИП на соотв. результат интел-ой деят-ти в полном объеме другой стороне - приобретателю ИП (приобретателю патента). По лицензионному договору одна сторона - патентообладатель (лицензиар) предоставляет или обязуется предоставить другой стороне (лицензиату) удостоверенное патентом право использования изобретения в установленных договором пределах. Патентообладатель может подать в фед. орган исполнительной власти по интел-ой собственности заявление о возможности предоставления любому лицу права использования изобретения (открытой лицензии). Договор об отчуждении патента, лицензионный договор, а также др. договоры, поср-твом кот. осущ-ся распоряжение ИП заключаются в письменной форме и подлежат гос. регистрации в фед-ом органе исполнительной власти по интел-ой собственности. 1. Заявка на выдачу патента на изобретение, полезную модель или промышленный образец подается в фед. орган исполнительной власти по интел-ой собственности лицом, обладающим правом на получение патента в соотв. с ГК. 2. Заявление о выдаче патента на изобретение, полезную модель или промышленный образец представляется на русском языке. Прочие док-ты заявки представляются на русском или другом языке. Если док-ты заявки представлены на другом языке, к заявке прилагается их перевод на русский язык. 3. Заявление о выдаче патента на изобретение, подписывается заявителем, а в случае подачи заявки через патентного поверенного или иного представителя - заявителем или его представителем, подающим заявку. 4. Требования к док-ми заявки на выдачу патента на изобретение устанавливаются на основании ГК фед-ым органом исполнительной власти, осуществляющим нормативно-правовое регулирование в сфере интел-ой собственности. 5. К заявке на выдачу патента на изобретение прилагается док-т, подтверждающий уплату патентной пошлины в установленном размере, или док-т, подтверждающий основания освобождения от уплаты патентной пошлины, либо уменьшения ее размера, либо отсрочки ее уплаты.

ИП на изобретение, полезную модель или промышленный образец признается и охраняется при условии гос. регистрации соответствующих изобретения, полезной модели или промышленного образца, на основании которой фед. орган исполнительной власти по интел-ой собственности выдает патент. На основании решения о выдаче патента фед. орган исполнительной власти по интел-ой собственности вносит изобретение, полезную модель или промышленный образец в соотв. государственный реестр - в Государственный реестр изобретений РФ, Государственный реестр полезных моделей РФ и Государственный реестр промышленных образцов РФ и выдает патент. Фед. орган исполнительной власти по интел-ой собственности публикует в официальном бюллетене свед-я о любых изменениях записей в гос. Реестрах. Подача заявки на выдачу патента на секретное изобретение (заявка на секретное изобретение), рассмотрение такой заявки и обращение с ней осущ-ся с соблюдением законодательства о ГТ. Заявки на секретные изобретения, для кот. установлена степень секретности "особой важности" или "совершенно секретно", а также на секретные изобретения, кот. относятся к ср-вам вооружения и военной техники и к методам и ср-вам в области разведывательной, контрразведывательной и оперативно-розыскной деят-ти и для кот. установлена степень секретности "секретно", подаются в зависимости от их тематической принадлежности в уполномоченные Правительством РФ фед. органы исполнительной власти, Гос. корпорацию по атомной энергии "Росатом" (уполномоченные органы). Заявки на иные секретные изобретения подаются в фед. орган исполнительной власти по интел-ой собственности. Если при рассмотрении фед-ым органом исполнительной власти по интел-ой собственности заявки на изобретение будет установлено, что содержащиеся в ней свед-я составляют ГТ, такая заявка засекречивается в порядке, установленном законодательством о ГТ, и считается заявкой на секретное изобретение. Засекречивание заявки, поданной иностранным гражданином или иностранным юридическим лицом, не допускается. Публикация сведений о такой заявке в этом случае не производится. Гос. регистрация секретного изобретения в Государственном реестре изобретений РФ и выдача патента на секретное изобретение осущ-ся фед-ым органом исполнительной власти по интел-ой собственности или, если решение о выдаче патента на секретное изобретение принято уполномоченным органом, - этим органом. Уполномоченный орган, зарегистрировавший секретное изобретение и выдавший патент на секретное изобретение, уведомляет об этом фед. орган исполнительной власти по интел-ой собственности.

Договор об отчуждении патента, а также лицензионный договор на использование секретного изобретения подлежит регистрации в органе, выдавшем патент на секретное изобретение, или его правопреемнике, а при отсутствии правопреемника - в фед-ом органе исполнительной власти по интел-ой собственности. В отношении секретного изобретения не допускаются публичное предложение заключить договор об отчуждении патента и заявление об открытой лицензии. Споры, связанные с защитой патентных прав, рассматриваются судом. Патентообладатель вправе потребовать публикации в официальном бюллетене фед-го органа исполнительной власти по интел-ой собственности решения суда о неправомерном использовании изобретения, полезной модели, промышленного образца или об ином нарушении его прав.

3. 8. Права на ср-ва индивидуализации юрлиц и ИП, а также на ср-ва индивидуализации производимых ими товаров, выполняемых работ или оказываемых услуг.

Товарный знак - это обозначение, которое служит для индивидуализации товара или услуги, а также защищает их от поделки. Существует несколько видов товарного знака: Словесный товарный знак (единица языка, словосочетание), Изобразительный товарный знак (изображения предметов, живых существ), Комбинированный товарный знак (комбинация различных эл-тов), Объемный товарный знак (трехмерные фигуры), Звуковой товарный знак (звук, сочетание звуков и т. д. )

Обладателем ИП на товарный знак может быть юрлицо или ИП. На товарный знак (обозначение), служащее для индивидуализации товаров юрлиц или ИП, признается ИП, удостоверяемое свидетельством на товарный знак. Свидетельство на товарный знак удостоверяет приоритет товарного знака и ИП на товарный знак в отношении товаров, указанных в свидетельстве.

Гос. регистрация товарного знака (ТЗ) осущ-ся фед-ым органом исполнительной власти по интел-ой собственности в Государственном реестре ТЗ и знаков обслуживания РФ. На основании решения о гос. регистрации ТЗ фед. орган исполнительной власти по интел-ой собственности в течение месяца со дня получения док-та об уплате пошлины за гос. регистрацию ТЗ и за выдачу свидетельства на него осуществляет гос. регистрацию ТЗ в Государственном реестре ТЗ. В Государственный реестр ТЗ вносятся ТЗ, свед-я о правообладателе, дата приоритета ТЗ, перечень товаров, для индивидуализации кот. зарегистрирован ТЗ, дата его гос. регистрации, др. свед-я, относящиеся к регистрации ТЗ, а также послед-щие изменения этих сведений.

Отказ в регистрации: Не допускается гос. регистрация в качестве ТЗ обозначений, не обладающих различительной способностью или состоящих только из эл-тов: 1) вошедших во всеобщее употребление для обозначения товаров опред. вида; 2) являющихся общепринятыми символами и терминами; 3) характеризующих товары, в тч указывающих на их вид, качество, кол-во, свойство, назначение, ценность, а также на время, место и способ их производства или сбыта; 4) представляющих собой форму товаров, кот. определяется исключительно или главным образом свойством либо назначением товаров. Указанные эл-ты могут быть включены в ТЗ как неохраняемые эл-ты, если они не занимают в нем доминирующего положения. В соотв. с международным договором РФ не допускается гос. регистрация в качестве ТЗ обозначений, состоящих только из эл-тов, представляющих собой: 1) гос. гербы, флаги и др. гос. символы и знаки; 2) сокращенные или полные наименования международных и межправительственных организаций, их гербы, флаги, др. символы и знаки; 3) официальные контрольные, гарантийные или пробирные клейма, печати, награды и др. знаки отличия; 4) обозначения, сходные до степени смешения с эл-тами, указанными в подпунктах 1-3 настоящего пункта.

Такие эл-ты могут быть включены в ТЗ как неохраняемые эл-ты, если на это имеется согласие соотв. компетентного органа. Не допускается гос. регистрация в качестве ТЗ обозначений, представляющих собой или содержащих эл-ты: 1) являющиеся ложными или способными ввести в заблуждение потребителя относительно товара либо его изготовителя; 2) противоречащие общественным интересам, принципам гуманности и морали.

Не допускается гос. регистрация в качестве ТЗ обозначений, тождественных или сходных до степени смешения с официальными наименованиями и изображениями особо ценных объектов культурного наследия народов РФ либо объектов всемирного культурного или природного наследия, а также с изображениями культурных ценностей, хранящихся в коллекциях, собраниях и фондах, если регистрация испрашивается на имя лиц, не являющихся их собственниками, без согласия собственников или лиц, уполномоченных собственниками, на регистрацию таких обозначений в качестве ТЗ.

Не могут быть зарегистрированы в качестве ТЗ обозначения, тождественные или сходные до степени смешения с: 1) товарными знаками др. лиц, заявленными на регистрацию (статья 1492) в отношении однородных товаров и имеющими более ранний приоритет, если заявка на гос. регистрацию ТЗ не отозвана или не признана отозванной; 2) ТЗ др. лиц, охраняемыми в РФ, в тч в соотв. с международным договором РФ, в отношении однородных товаров и имеющими более ранний приоритет; 3) ТЗ др. лиц, признанными в установленном 4 частью ГК РФ порядке общеизвестными в РФ ТЗ, в отношении однородных товаров.

Регистрация в качестве ТЗ в отношении однородных товаров обозначения, сходного до степени смешения с каким-либо из ТЗ, указанных в настоящем пункте, допускается только с согласия правообладателя. Не могут быть в отношении однородных товаров зарегистрированы в качестве ТЗ обозначения, тождественные или сходные до степени смешения с охраняемым в РФ фирменным наименованием или коммерческим обозначением (отдельными эл-тами таких наименования или обозначения) либо с наименованием селекционного достижения, зарегистрированного в Государственном реестре охраняемых селекционных достижений, права на кот. в РФ возникли у иных лиц ранее даты приоритета регистрируемого ТЗ.

Не могут быть зарегистрированы в качестве ТЗ обозначения, тождественные: 1) названию известного в РФ на дату подачи заявки на гос. регистрацию ТЗ произведения науки, литературы или искусства, персонажу или цитате из такого произведения, произведению искусства или его фрагменту, без согласия правообладателя, если права на соответствующее произведение возникли ранее даты приоритета регистрируемого ТЗ; 2) имени, псевдониму или производному от них обозначению, портрету или факсимиле известного в РФ на дату подачи заявки лица, без согласия этого лица или его наследника; 3) промышленному образцу, знаку соответствия, доменному имени, права на кот. возникли ранее даты приоритета регистрируемого ТЗ.

Использование ТЗ и распоряжение ИП на ТЗ: 1. Гражданин или юрлицо, обладающие ИП на результат интел-ой деят-ти или на ср-тво индивидуализации (правообладатель), вправе использовать такой результат или такое ср-тво по своему усмотрению любым не противоречащим закону способом. ИП на результат интел-ой деят-ти или на ср-тво индивидуализации (кроме ИП на фирменное наименование) может принадлежать одному лицу или нескольким лицам совместно. 2. ИП на ТЗ может быть осущ-но для индивидуализации товаров, работ или услуг, в отношении кот. ТЗ зарегистрирован, в частности путем размещения ТЗ: на товарах, в тч на этикетках, упаковках товаров, кот. производятся, предлагаются к продаже, продаются, демонстрируются на выставках и ярмарках или иным образом вводятся в гражданский оборот; при выполнении работ, оказании услуг; на док-тации, связанной с введением товаров в гражданский оборот; в предложениях о продаже товаров, о выполнении работ, об оказании услуг, а также в объявлениях, на вывесках и в рекламе; в сети "Интернет", в тч в доменном имени и при др. способах адресации. 3. Никто не вправе использовать без разрешения правообладателя сходные с его товарным знаком обозначения в отношении товаров, для индивидуализации кот. ТЗ зарегистрирован, или однородных товаров, если в результате такого использования возникнет вероятность смешения.

Последствия неиспользования ТЗ: 1. Правовая охрана ТЗ может быть прекращена досрочно в отношении всех товаров или части товаров вследствие неиспользования ТЗ непрерывно в течение любых трех лет после его гос. регистрации. Заявление о досрочном прекращении правовой охраны ТЗ вследствие его неиспользования может быть подано заинтересованным лицом в палату по патентным спорам по истечении указанных трех лет при условии, что вплоть до подачи такого заявления ТЗ не использовался. 2. Использование ТЗ не связано непосред-но с введением товара в гражданский оборот, а также использование ТЗ с изменением его отдельных эл-тов, не влияющим на его различительную способность и не ограничивающим охрану, предоставленную товарному знаку. 3. Бремя доказывания использования ТЗ лежит на правообладателе. При решении вопроса о досрочном прекращении правовой охраны ТЗ вследствие его неиспользования могут быть приняты во внимание представленные правообладателем доказательства того, что ТЗ не использовался по независящим от него обстоятельствам. 4. Прекращение правовой охраны ТЗ означает прекращение ИП на этот ТЗ.

Понятие общеизвестного ТЗ и особенности правовой охраны и использования такого знака: Общеизвестный ТЗ -- это обозначение товара, получившее широкую известность в РФ в результате интенсивного его использования. По решению фед-го органа исполнительной власти по интел-ой собственности могут быть признаны общеизвестным в РФ товарным знаком, если этот ТЗ или это обозначение в результате интенсивного использования стали на указанную в заявлении дату широко известны в РФ среди соответствующих потребителей в отношении товаров заявителя.

Правовая охрана общеизвестного ТЗ: 1. Правовая охрана предоставляется общеизвестному ТЗ на основании решения фед-го органа исполнительной власти по интел-ой собственности. 2. ТЗ, признанный общеизвестным, вносится фед-ым органом исполнительной власти по интел-ой собственности в Перечень общеизвестных в РФТЗ (Перечень общеизвестных ТЗ). 3. Свидетельство на общеизвестный ТЗ выдается фед-ым органом исполнительной власти по интел-ой собственности в течение месяца со дня внесения ТЗ в Перечень общеизвестных ТЗ. 4. Свед-я, относящиеся к общеизвестному товарному знаку, публикуются фед-ым органом исполнительной власти по интел-ой собственности в официальном бюллетене незамедлительно после их внесения в Перечень общеизвестных ТЗ.

Защита права на ТЗ. Ответственность за незаконное использование ТЗ: 1. Товары, этикетки, упаковки товаров, на кот. незаконно размещены ТЗ или сходное с ним до степени смешения обозначение, явл-ся контрафактными. 2. Правообладатель вправе требовать изъятия из оборота и уничтожения за счет нарушителя контрафактных товаров, этикеток, упаковок товаров, на кот. размещены незаконно используемый ТЗ или сходное с ним до степени смешения обозначение. 3. Лицо, нарушившее ИП на ТЗ при выполнении работ или оказании услуг, обязано удалить ТЗ или сходное с ним до степени смешения обозначение с материалов, кот. и сопровождается выполнение таких работ или оказание услуг, в тч с док-тации, рекламы, вывесок. 4. Правообладатель вправе требовать по своему выбору от нарушителя вместо возмещения убытков выплаты компенсации: в размере от десяти тысяч до пяти миллионов рублей, определяемом по усмотрению суда исходя из характера нарушения; в двукратном размере стоимости товаров, на кот. незаконно размещен ТЗ, или в двукратном размере стоимости права использования ТЗ, определяемой исходя из цены, кот. при сравнимых обстоятельствах обычно взимается за правомерное использование ТЗ. 5. Лицо, производящее предупредительную маркировку по отношению к не зарегистрированному в РФ ТЗ, несет ответственность в порядке, предусмотренном законодательством РФ.

4. 1. Орг-ия работы по определению состава, засекречиванию и рассекречиванию конф инфы.

Засекречивание И - это совокупность организационно-правовых мер, регламентированных законами и другими нормативными актами, по введению ограничений на распространение и использование защищаемой И в интересах ее собственника. Отнесение сведений к ГТ осущ-ся в соотв. с Перечнем сведений, сост. ГТ, определяемым Законом о ГТ, рукями органов гос. власти в соотв. с Перечнем должностных лиц, наделений полномочиями по отнесению св.. к ГТ. Органами гос. власти, рук-ли кот. наделены полномочиями по отнесению св. к ГТ, разрабатываются развернутые перечни св., подлежащих засекречиванию. В эти перечни включаются - св., полномочиями по распоряжению кот. и наделены указанные органы, устанавливается степень их секретности, затем перечень утверждается соотв. рук-лями органов гос. власти. Целесообразность засекречивания таких перечней определяется их содержанием. МВК (Межведомственная комиссия): Формирует Перечень св., отнесенных к ГТ. При необходимости проводит межведомственную экспертизу правомерности отнесения св. к ГТ. Согласовывает распределение полномочий по распоряжению ГТ между министерствами, ведомствами и др. органами гос. власти. Готовит Перечень для утверждения Президентом и к опубликованию, представляет его на рассмотрение Правительства РФ. Для разработки проекта развернутого перечня создается комиссия, в составе кот. включаются компетентные спецты. В ходе подготовки этого перечня, экспертная комиссия проводит анализ всех видов деят-ти соот-их органов гос. власти, подведомственных предприятий с целью определения сведений, распространение кот. может нанести ущерб. Обоснование необходимости отнесения св. к ГТ с указанием грифа осущ-ся собственниками этих сведений и оформляется в виде предложений для включения в проект развернутого перечня. Проект перечня представляется на утверждение рук-лю органа гос. власти, наделенного полномочиями по отнесению св. к ГТ. После утверждения Перечень направляется МВК. После рассмотрения и утверждения, Перечень доводится до заинтересованных предприятий. Пересмотр - раз в 5 лет. По истечении установленных сроков засекречивания И и в случае понижения степени секретности И или отмены решения об отнесении ее к ГТ должностные лица, осущ-ие засекречивание И, обязаны обеспечить изменение грифа секретности или рассекречивание И. Рассекречивание сведений и их носителей - снятие ранее введенных (в предусмотренном в законе о ГТ порядке) ограничений на распространение св., сост. ГТ, и на доступ к их носителям. Основаниями для рассекречивания св. явл-ся: взятие на себя РФ международных обязательств по открытому обмену свед-ями, состав-ими в РФ ГТ; изменение объективных обстоятельств, вследствие кот. дальнейшая защита сведений явл-ся нецелесообразной. Срок засекречивания св, сост. ГТ, не должен превышать 30 лет. В исключительных случаях этот срок может быть продлен по заключению МВК.

4. 2. Лицензирование деят-ти

Лицензирование - это процесс выдачи спец. разрешений на осущ-е каких-либо видов деят-ти. Лицензия - спец.разрешение на осущ-е конкретного вида деят-ти при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юрлицу или ИП. Лицензирование в области ЗИ - деят-ть, заключающаяся в передаче или получении прав на проведение работ в области ЗИ. Лицензируемый вид деят-ти - вид деят-ти, на осущ-е кот. на территории РФ требуется получение лицензии в соотв. с ФЗ. Основной док-т Положение "О лицензировании деят-ти предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, сост. ГТ, созданием Ср ЗИ, а также с осущ-ем мероприятий и оказанием услуг по защите ГТ" от 15 апреля 1995 г. N 333.

Органы, ведущие лицензионную деят-ть: по допуску предприятий к проведению работ с исп. свед. ГТ: ФСБ РФ и ее территориальные органы; СВР; дающие право проведения работ, связ. с созданием СрЗИ: Федеральная служба по техническому и экспортному контролю (фстэк) и ее территориальные органы; СВР; Мин.обороны; ФСБ РФ.

Лицензии выдаются на основании результатов спец. экспертиз предприятий и гос. аттестации их руководителей, ответственных за защиту сведений, сост. ГТ. Для получения лицензии должны соблюдаться след-щие условия: соблюдение требований законодательных и нормативных актов РФ; наличие подразделения по защите ГТ и необходимого числа спец-о подготовленных сотрудников; наличие на предприятии сертифицированных СрЗИ, соот-их степени секретности. Спец. экспертизы проводятся на основе договора между предприятием и органом, проводящим спец. экспертизу. Расходы относятся на счет предприятия. Спец. экспертиза проводится путем проверки выполнения требований нормативно-методических док-ов по режиму секретности, противодействию иностр. техническим разведкам, ЗИ от утечки по техническим каналам, а также соблюдения др. условий, необходимых для получения лицензии. Цель экспертизы: оценка готовности предприятия к выполнению требований нормативных и законодательных актов РФ по обеспечению защиты сведений, сост. ГТ. На предприятии дб: разграничение доступа к инфе (положение о разрешительной системе доступа); выявление и нейтрализация каналов утечки, включая контроль среды на наличие закладок в тех. ср-вах и программных обеспечениях; обеспечение криптографической ЗИ при хранении, передаче по каналам связи, антивирусная защита и целостность при целенаправленных атаках. Предприятие должно обеспечить: соот-ие производственные помещения; соответствующее оборудование; использование серт-ых автоматизированных систем, обрабатывающих КИ, а также СрЗИ; использование на предприятии серт-ых программ и баз данных.

Орган, уполномоченный на ведение лицензионной деят-ти, принимает решение о выдаче или об отказе в выдаче лицензии в течение 30 дней со дня получения заявления пакетом доков. Для получения лицензии заявитель предоставляет в соотв. орган: заявление о выдаче лицензии; копии учредительных док-ов; копии док-ов, подтверждающих право собственности имущества; справку о постановке на учет в налоговом органе; док-т, подтверждающий уплату гос. пошлины. Предприятие может иметь лицензии на несколько видов деят-ти.

Методические рекомендации по орг-ии и проведению гос. аттестации руководителей предприятий разрабатываются МВК. От гос. аттестации освобождаются руководители предприятий, имеющие диплом по спец-ости, связ. с ЗИ. Перечень указанных учебных заведений утверждается МВК. Органы, уполномоченные на ведение лицензионной деят-ти, приостанавливают действие лицензии или аннулируют ее в случае: предоставления лицензиатом соотв. заявления; обнаружения недостоверных данных в док-тах; нарушения лицензиатом условий действия лицензии; невыполнения лицензиатом предписаний или распоряжений гос. органов; ликвидации предприятия. В случае изменения обстоятельств, повлекших приостановление действия лицензии, действие лицензии может быть возобновлено. Основания для отказа в выдачи лицензии: недостоверная, искаженная инфа; отрицательное заключение экспертизы; отрицательное заключение аттестации руководителя.

4. 3. Порядок серт-ии СрЗИ.

Системы серт-ии создаются ФСТЭК, ФСБ, МинОбороны РФ, СВР в рамках своих компетенций.

Сертификация СрЗИ осущ-ся на основании требований госстандартов, нормативных док-ов.

Координацию работ по орг-ии серт-ии СрЗИ осуществляет МВК по защите ГТ.

В каждой системе серт-ии разрабатываются и согласовываются с МВК положение об этой системе серт-ии, а также перечень СрЗИ, подлежащих серт-ии, и требования, кот. эти ср-ва должны удовлетворять.

Участниками серт-ии СрЗИ явл-ся:

-- фед. орган по серт-ии: создает системы серт-ии; выбирает способ подтверждения соответствия СрЗИ требованиям нормативных док-ов; устанавливает правила аккредитации центральных органов систем серт-ии, органов по серт-ии СрЗИ и испытательных лабораторий; определяет центральный орган для каждой системы серт-ии; выдает серт-ты или лицензии на применение знака соответствия; ведет государственный реестр участников серт-ии и сертифицированных СрЗИ; осуществляет гос. контроль и надзор за соблюдением участниками серт-ии правил серт-ии и за серт-ми ср-ми ЗИ, а также устанавливает порядок инспекционного контроля; рассматривает апелляции по вопросам серт-ии; представляет на гос. регистрацию в Комитет РФ по стандартизации, метрологии и серт-ии системы серт-ии и знак соответствия; устанавливает порядок признания зарубежных серт-ов; приостанавливает или отменяет действие выданных серт-тов.

-- центральный орган системы серт-ии (создаваемый при необходимости) - орган, возглавляющий систему серт-ии однородной продукции; организует работы по формированию системы серт-ии и руководство ею, координирует деят-ть органов по серт-ии СрЗИ и испыт-ых лаб-ий, входящих в систему серт-ии; ведет учет входящих в систему серт-ии органов по серт-ии СрЗИ и испы-ых лаб-ий, выданных и аннулированных серт-тов и лицензий на применение знака соответствия; обеспечивает участников серт-ии инфой о деят-ти системы серт-ии.

-- органы по серт-ии СрЗИ - органы, проводящие серт-ию определенной продукции; серт-ют ср-ва ЗИ, выдают серт-ты и лицензии на применение знака соответствия с представлением копий в фед. органы по серт-ии и ведут их учет; приостанавливают либо отменяют действие выданных ими серт-тов и лицензий на применение знака соответствия; принимают решение о проведении повторной серт-ии при изменениях в технологии изготовления и конструкции (составе) серт-ых СрЗИ; формируют фонд нормативных док-ов, необходимых для серт-ии; представляют изготовителям по их требованию необходимую инфу в пределах своей компетенции.

-- испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;

-- изготовители - продавцы, исполнители продукции: производят (реализуют) ср-ва ЗИ только при наличии серт-та; извещают орган по серт-ии, проводивший серт-ию, об изменениях в технологии изготовления и конструкции (составе) сер-ых СрЗИ; маркируют серт-ые ср-ва ЗИ знаком соотв. в порядке, установленном для данной системы серт-ии; указывают в сопроводительной технической док-тации свед-я о серт-ии и нормативных док-тах, кот. ср-ва ЗИ должны соот-ть, а также обеспечивают доведение этой инфы до потребителя; применяют серт-т и знак соответствия, руководствуясь закон-ом РФ и правилами, установленными для данной системы серт-ии; обеспечивают соо-ие СрЗИ требованиям нормативных док-ов по ЗИ; обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих серт-ию и контроль за серт-ем и ср-вами ЗИ; прекращают реализацию СрЗИ при несоотв. их требованиям нормативных док-ов или по истечении срока действия серт-та, а также в случае приостановки действия серт-та или его отмены.

Серт-т соответствия -- док-т, удостоверяющий соот-ие объекта требованиям тех. регламентов, положениям стандартов, сводов правил или условиям договоров.

Знак соответствия -- спец знак, ставящийся на товаре или упаковке товара, показывающий соот-ие этого товара тому или иному стандарту, требованиям серт-ых орг-ий. Изготовитель для получения серт-та направляет в орган по серт-ии СрЗИ заявку на проведение серт-ии Орган по серт-ии СрЗИ в месячный срок после получения заявки направляет изготовителю решение о проведении серт-ии с указанием схемы ее проведения, испыт-ой лаб-ии, осущ-ей испытания СрЗИ, и нормативных док-ов, требованиям кот. должны соот-ть серт-ые ср-ва ЗИ, а при необходимости -- решение о проведении и сроках предварительной проверки производства СрЗИ.

Основными схемами проведения серт-ии СрЗИ явл-ся: для единичных образцов СрЗИ - проведение испытаний этих образцов на соот-ие требованиям по ЗИ; для серийного производства СрЗИ -- проведение типовых испытаний образцов СрЗИ на соот-ие требованиям по ЗИ и последующий инспекционный контроль за стабильностью хар-ик сертифицированных СрЗИ, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по спец-о разработанной программе. Срок действия серт-та не может превышать пяти лет. Фед. орган по серт-ии и органы по серт-ии СрЗИ имеют право приостанавливать или аннулировать действие серт-та в случаях: изменение нормативных и методических док-ов по ЗИ в части требований к ср-вам ЗИ, методам испытаний и контроля; изменение технологии изготовления, конструкции (состава), комплектности СрЗИ и системы контроля их качества; отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осущ-ми гос. контроль и надзор, инспекционный контроль за серт-ей и сертифицир. ср-вами ЗИ. Инспекционный контроль за сертифицир. ср-вами ЗИ осущ-ют органы, проводившие их серт-ию.

4. 4. Порядок допуска и доступа персонала и иных лиц к конф инфе.

Законом РФ "О ГТ" определяются понятия "допуск" и "доступ". Допуск к ГТ - процедура оформления права граждан на доступ к свед-ям, сост. ГТ, а предприятий, учреждений и организаций - на проведение работ с использованием таких сведений. Доступ к свед-ям, сост. ГТ, - санкционированное полномочным должностным лицом ознакомление конкретного лица со свед-ями, сост. ГТ. Право на доступ к конкретным свед-ям, состав-им ГТ, может быть реализовано при помощи разрешительной системы доступа.

Форма допуска - это показатель, к какой степени секретности сведений допущен тот или иной работник. Законом РФ "О ГТ" устанавливаются три формы допуска к ГТ должностных лиц, соот. трем степеням секретности сведений: ОВ, СС, С. Наличие у должностных лиц и граждан допуска к свед-ям более высокой степени секретности явл-ся основанием для допуска их к свед-ям более низкой степени секретности. Основания для отказа в допуске: а) признание гражданина судом недееспособным, ограниченно дееспособным или рецидивистом, нахождение его под судом или следствием, наличие у гражданина неснятой судимости за эти преступления; б) наличие у гражданина медицинских противопоказаний; в) постоянное проживание его самого и (или) его близких родственников за границей; г) выявление в результате проведения проверочных мероприятий действий гражданина, создающих угрозу безопасности РФ; д) уклонение гражданина от проверочных мероприятий и (или) сообщение заведомо ложных анкетных данных.

Прекращение допуска: а) расторжение трудового договора; б) однократное нарушение обязательств, связанных с защитой ГТ; в) возникновения обстоятельств, являющимися основаниями для отказа в допуске. При необходимости переоформления допуска к ГТ гражданину в орг-ии, в которой он работает по совместительству, РСО указанной орг-ии запрашивается по постоянному месту работы карточка, кот. после переоформления допуска возвращается одновременно с запросом о направлении ее дубликата. При этом организацией, в которой гражданин работает постоянно и где хранится карточка, в установленном порядке оформляется новое решение о допуске, а в орган безопасности по месту расположения этой орг-ии направляется уведомление с приложением учетной карточки на допуск, на обороте которой указываются форма и номер допуска, дата окончания проведения проверочных мероприятий, наименование органа безопасности, проводившего проверочные мероприятия, дата решения о допуске гражданина к ГТ, а также адрес и наименование орг-ии, в которую направлен дубликат карточки.

Инструкцией о порядке допуска должностных лиц и граждан РФ к ГТ (утв. Постановлением Правительства РФ от 06. 02. 2010 г. N 63) установлено два порядка оформления, учета и хранения допусков: 1. Порядок, когда допуск обязательно согласовывается с органами безопасности (для 1 и 2 форм). 2. Порядок - без согласования (для 3 формы). Особенности оформления допусков к конф инфе обусловлены прежде всего правом собственности на инфу. Порядок оформления регламентируется организацией - собственником инфы. Основным док-том, регламентирующим разграничение доступа к закрытой инфе, явл-ся Положение "о разрешительной системе доступа". Реализация Положения о разрешительной системе основывается на делегировании руководителем предприятия как единоличного распорядителя секретами части своих полномочий на доступ к конкретным док-ми и свед-ям руководителям более низкого уровня.

Док-тальное оформление каждого выданного руководителем разрешения на доступ может производиться след. способами: - составлением именных списков с указанием в них фио исполнителя, должности, категории док-ов или сведений, кот. ему разрешается пользоваться, списки на право пользования делами и т. п. ); - составлением должностных списков, в кот. указываются должности исполнителей и объем док-ов и сведений, кот. необходимо пользоваться лицам, занимающим ту или иную должность; - заведением карточек-разрешений с указанием в необходимых случаях срока пользования док-ми; - написанием разрешений на самих док-тах (в виде резолюций или др. разрешающих надписей); - указанием в распорядительных доках фамилий лиц и конкретных док-ов, к кот. они дб допущены. Каждое разрешение должно иметь дату его оформления или выдачи. Для лиц, командированных из др. предприятий, доступ к свед-ям, состав-им ГТ, осущ-ся после предъявления ими предписаний на выполнение задания, док-ов, удостоверяющих личность, и справок о допуске по соотв. форме.

4. 5. Орг-ия внутриобъектового и пропускного режимов

Основная цель охраны - обеспечение безопасности охраняемых объектов путем предупреждения и ликвидации различного рода угроз. Задачи охраны можно подразделить на 2 группы: 1. Аналитические и предупредительные, 2. Процедурно-отражательные, включающие конкретные действия по ликвидации реальных угроз. Виды охраны: охрана с помощью ТС; охрана путем выставления постов; комбинированная охрана.

В организационном плане задачи охраны могут решаться силами СБ орг-ии, частными охранными агентствами, вневедомственной охраной, а также в различном сочетании. В основе разработки системы охраны и орг-ии ее функ-ия лежит принцип создания последовательных рубежей безопасности. Взаимосвязь и взаимодействие сил и ср-тв охраны, сконцентрированных на различных рубежах, позволяют обнаружить угрозу, воспрепятствовать ее распространению и отразить или ликвидировать на одном из рубежей.

Пропускной режим - совокупность правил, регламентирующих порядок входа (выхода) лиц, въезда (выезда) транспортных ср-тв на (с) территорию учреждения, вноса (выноса), ввоза (вывоза) (конф) док-ов и изделий, а также мероприятия по реализации этих правил. Пропускной режим предназначен для того, чтобы исключить: - проникновение посторонних лиц на охраняемую территорию учреждения и в режимные помещения; - посещение режимных помещений без служ. необходимости работниками учреждения и командированными лицами; - внос (ввоз) на территорию учреждения личных визуальных ср-тв наблюдения, кино- и фотоаппаратуры, радиотехнической и др. аппаратуры; - вынос (вывоз) с территории учреждения док-ов и изделий без соотв. разрешения; - хищение док-ов и изделий.

Пропускной режим предусматривает: - организацию контрольно-пропускных пунктов и постов с пропускными функциями на входах (выходах) на режимные территории, в режимные здания, сооружения и помещения, создание бюро пропусков; - введение системы постоянных, временных и разовых пропусков, а также мат-ых пропусков; - применение спец. шифров и вкладышей, дающих право прохода на опред. режимные территории, в режимные здания, сооружения и помещения; - определение должностных лиц, имеющих право давать разрешение на выдачу соотв. вида пропуска, вкладыша, на постановку шифров; - определение перечня предметов, запрещенных к проносу (провозу) на режимную территорию; - охрану режимных территорий, зданий, помещений, хранилищ док-ов и изделий; - пропуск командированных лиц на режимную территорию, в помещения, где ведутся работы, с письменного разрешения заместителя руководителя учреждения по режиму или начальника РСО при наличии предписания на выполнение задания и соотв. справки о допуске.

Внутриобъектовый режим - совокупность организационно-технических мероприятий и правил, направленных на обеспечение режима в учреждениях (на предприятиях). Внутри объектовый режим предусматривает: - соблюдение установленного порядка подбора, изучения и оформления лиц для работы в учреждениях; - ограничение круга лиц, допускаемых к закрытым работам, док-ми и изделиям, определение круга должностных лиц учреждения, имеющих право разрешать ознакомление с той или иной категорией док-ов и сведений, доведение до исполнителей только такого объема сведений, кот. им необходим для выполнения служебных заданий; - выделение соответствующих помещений для проведения работ и осущ-е контроля за допуском посетителей в эти помещения, исключение возможности бесконтрольного доступа в них; - проведение мероприятий по предотвращению утечки закрытой инфы в процессе проведения совещаний, конференций, выставок, а также при посещении объектов посетителями, в тч иностранцами; - осущ-е контроля за применением ТС, используемых для передачи, приема, обработки и размножения закрытой инфы, а также за подготовкой предназначенных для проведения закрытых мероприятий помещений, чтобы они удовлетворяли требованиям режима.

Автоматизированные системы обеспечения контрольно-пропускного режима можно разделить на два вида: атрибутные и биометрические. В системах первого вида контроля осущ-ся проверка наличия у пользователя легального атрибута, пароля или идентификационной карты. В биометрических системах сверяется подлинность путем измерения и сопоставления с контрольным эталоном какого-либо биопараметра. Атрибутные идентификационные карточки делятся на: магнитные; инфракрасные; карточки ВИГАНД; штриховые, радиопередающие. Пропуска могут быть постоянные, временные (до 3 месяцев), разовые для посетителей, а также мат-ые - для ввоза-вывоза мат-ых ценностей. На удостоверениях и пропусках проставляются печати, цифры и знаки, определяющие зоны доступа, период их действия, право проноса портфелей, кейсов, папок. Учет бланков удостоверений и пропусков осущ. бюро пропусков. Полная замена удостоверений и пропусков производится, как правило, через 3-5 лет. Через 2-3 года производится перерегистрация с проставлением соотв. отметки.

4. 6. Организационные требования к режимным помещениям.

Помещение явл-ся режимным, если оно отвечает режимным требованиям и обеспечивает сохранность проведения работ. К режимным помещениям относятся: Помещения режимно-секретного отдела (РСО), СБ; Закрытые архивы, библиотеки; Типографии; Лаборатории, бюро; Помещения, где сосредоточена техника; помещения обработки технической док-тации. Перед началом эксплуатации помещение должна обследовать комиссия, в которую входят технические специалисты, сотрудники СБ или РСО (или из лицензированной фирмы). Далее комиссия передает акт о пригодности эксплуатации помещения в СБ или РСО. Размещение режимных помещений и их оборудование должно соответствовать нормам и исключать возможность бесконтрольного проникновения и гарантировать сохранность док-ов и изделий.

Орг-ия хранения конф док-ов предполагает, что помещения подразделения конф делопроизводства, должны соот. требованиям технической безопасности, противопожарной безопасности, а также установленным санитарным нормам. Эти помещения должны размещаться не на первом и последнем этажах зданий, окна -- выходить на внутреннюю территорию объекта. Право прохода в такие помещения имеют руководитель орг-ии и сотрудники, имеющие прямое отношение к обработке и хранению конф док-ов. Лица, обеспечивающие техническое и бытовое обслуживание, допускаются в эти помещения только в присутствии сотрудников подразделения конф делопроизводства. Окна и двери помещений должны иметь надежные ср-ва защиты (сигнализация, связаная с дежурным постом СБ (охраны), датчики движения. Кодовые замки). По окончании рабочего дня двери необходимо не только запирать, но и опечатывать номерной металлической печатью подразделения КД. Сдачу под охрану и вскрытие помещений производят ответственные за эти помещения сотрудники предприятия на основании утвержденных руководителем предприятия списков этих сотрудников с образцами их подписей. Списки находятся в службе охраны или у дежурного по предприятию. Сотрудники предприятия, кот. предоставлено право вскрытия, сдачи под охрану и опечатывания помещений, отвечают за соблюдение в этих помещениях установленных требований режима секретности. Перед отпиранием двери, если обнаружены попытки проникновения в помещение - поставить в известность СБ и доложить руководителю орг-ии. Для выдачи конф док-ов исполнителям помещения должны внутри отгораживаться барьером или оборудоваться спец-ыми окошками, не выходящими в общий коридор. Выдача конф док-ов может производиться только исполнителям, имеющим санкц. доступ к этим док-м, и только под роспись в учетных формах.

Конф док-ы должны храниться в сейфах или мет. шкафах подразделения КД, кот. по окончании рабочего дня запираются и опечатываются. Работать с док-ми на рабочих местах - хранение в спец. портфелях, имеющих приспособление для опечатывания. Сдаются в подразделение КД и хранятся на металлических стеллажах. Ключи от сейфа, спецпортфель и номерная печать выдаются исполнителю под роспись в лицевом счете (журнале учета). В случае утраты ключей - ставятся в известность руководители орг-ии и СБ - немедленная замена замков.

Для вскрытия помещений без указанных лиц назначается комиссия в составе не менее двух человек, кот. составляет акт о вскрытии с указанием в нем должностей и фамилий лиц, вскрывших помещения, номера помещения, времени и причины вскрытия, номеров печатей, кот. и ранее были опечатаны и вновь опечатаны помещения. Сейфы и шкафы, ключи от них должны учитываться подразделением КД по журналу учета хранилищ и ключей Ежегодно должна проводиться проверка фактического наличия ключей от хранилищ и номерных печатей исполнителей. Должностные лица, кот. разрешено в нерабочее время хранить конф док-ты в личных сейфах, по окончании рабочего дня помещают док-ты в сейф, опечатывают его и сдают помещение под охрану (с соотв. записями в журнале передачи под охрану помещений и пеналов с ключами). Подразделение КД обязано осуществлять периодический контроль за порядком хранения док-ов в служебных комнатах исполнителей и обращения с ними. Требования к режиму обращения с конфи док-ми дб закреплены в "Положении по обеспечению сохранности КТ орг-ии". Эти требования должны доводиться под роспись до каждого сотрудника, допущенного к работе с конф док-ми. Порядок приема-сдачи под охрану режимных помещений определяется инструкцией, спец-о разрабатываемой СБ (режимно-секретным подразделением) и утверждаемой руководителем предприятия.

4. 7. Организационная защита инфы в процессе проведения совещаний и переговоров по конф вопросам.

Необходимо получить разрешение руководителя на совещание (переговоры). Руководителем заинтересованного подразделения составляется докладная записка на имя руководителя (он назначает должностное лицо, кот. поручается подготовка такого совещания). В докладную записку включаются: тематика совещания и основания для его проведения; перечень конф вопросов; сроки проведения; место; список участвующих; список ответственных. Докладная записка может иметь гриф конф-ти. В организацию, с которой предполагается проведение переговоров, направляется спец.письмо (приглашение) (имеет гриф конф-ти по соотв. виду тайны). Приглашение лиц, не являющихся сотрудниками, разрешается только в случае необходимости их личного участия в обсуждении конкретного вопроса (эксперты, консультанты) (предупреждаются об ответственности и дают письменное обязательство). У сотрудников дб доступ к конф И, кот. будет на совещании.

В процессе подготовки и согласования всех вопросов совещания составляются и утверждаются док-ты: программа проведения совещания; список участников по каждому вопросу повестки дня; список мат-о-технического обеспечения и ответственных за него лиц.

Чем выше ценность И и чем меньше участников задействовано в обсуждении вопроса, тем позднее вопрос ставится на повестку дня. Любое совещание или переговоры по конф вопросам проводятся только в спец-ом (выделенном) помещении, оборудованном ср-вами технической ЗИ. Помещение аттестовано, технические ср-ва сертифицированы.

Контроль за проходом участников в помещение.

Сотрудник СБ осуществляет перс. контроль прохождения участников и напоминает о запрете проноса и использования аппаратуры (сдача на временное хранение и возврат после). Перед началом все предупреждаются о необходимости сохранения конф И. Выдаются заранее подготовленные блокноты, тетради для рабочих записей. По окончании носители для ведения записей, сдаются сотруднику подразделения КД и в орг-ии участников данного мероприятия. Невостребованные носители уничтожаются в устан. порядке. Аудио- и видеозапись, фотографирование конф совещаний ведется только по письменному разрешению лица, давшего согласие на проведение совещания и осущ-ся спец-о назначенным сотрудником орг-ии на учтенных носителях. Участники, замеченные в ведении несанкционированных действий, лишаются права дальнейшего присутствия и составляется акт. Носитель несанкционированно записанной И изымается для проведения внутреннего расследования и уничтожается на нем И. По окончании помещение осматривается сотрудником СБ. При обнаружении неучтенных носителей, несанкционированных ТС - докладывается руководителю орг-ии и принимаются меры для предотвращения возможных негативных последствий. Спец-о назначенный сотрудник ведет протокол совещания, в дальнейшем утверждается руководителем и имеет соотв. гриф конф-ти. Подлежит учету и хранению в подразделении КД. Док-ты, принятые на совещании, оформляются, подписываются и учитываются в соотв. с требованиями по работе с конф док-ми. Направление этих док-ов орг-иям, принявшим участие осущ-ся порядком, установленным для конф. док-ов.

4. 8. Организационная защита инфы в процессе издательской, рекламной и выставочной деят-ти.

Задачи: - определение объема и состава сведений огр. доступа, кот. орг-ия вынуждена по различным причинам предавать огласке; - установление порядка оформления разрешения на оглашение сведений огр. доступа; - выработка конкретных мер по ЗИ в процессе издат., рекламной и выст. деят-ти с учетом специфики каждого из видов деят-ти; - реализация треб. режима ЗИ и контроль их выполнения.

Требования: 1. Оценка материала с точки зрения уязвимости, связанной, в тч и с возможностью агрегирования, т.е. получения полной инфы путем ее сбора из различных источников. Материалы должны оцениваться также с точки зрения срока жизни коммерческой, а возможно и ГТ, и целесообразности. В этой связи, требованиями по ЗИ явл-ся: - оглашение инфы огр. доступа должно осущ-ся только в случае действительной необходимости и целесообразности; - если подготовка публикации или рекламного сообщения невозможна без полного или частичного разглашения защищаемой инфы, то ее необходимо раздробить, т.е. разобщить во времени и пространстве (по видам и ср-вам рекламы, различным ср-вам массовой инфы, авторам и т. д. ).

2. Необходимо организовывать работу с персоналом орг-ии и привлекаемыми, в частности на договорной основе, сотрудниками. В контракты дб включены положения, предусматривающие возможности общения 3-ми лицами, определены права и обязанности потенциальных авторов на предание огласке принадлежащей орг-ии инфы. Весь персонал, особенно лица, являющиеся носителями секретов, дб инструктирован и предупрежден об особенностях общения с прессой и общественностью. Желательно привлекать руководителей пресс-служб и служб рекламы к участию.

Издательская деят-ть. Сотрудник РСО знакомится с представленными автором материалами и, руководствуясь Перечнями (ПГС и ведомственными), определяет, не содержатся ли в тексте свед-я, составляющие какую-либо из видов тайн. Затем работник РСО (СБ) обсуждает с автором целесообразность данной публикации, выясняя, в частности, учтены ли в рукописи ранее опубликованные по данной проблеме материалы, не станет ли сама рукопись или в совокупности с ранее опубликованными работами источником разглашения тайны. Основным же звеном в рассмотрении и оформлении разрешения на публикацию явл-ся Экспертные комиссии (ЭК). ЭК создаются в орг-ии приказом руководства и действуют на постоянной основе. В состав экспертных комиссий включаются руководители основных производственных или научных подразделений, ведущие специалисты и др., а также работник РСО.

Обязанности работника РСО (СБ), включенного в состав ЭК: - подготовка материалов к рассмотрению на заседании комиссии; - осущ-е контроля за рассмотрением материалов; - ознакомление членов комиссии с их правами и обязанностями, инструктированием по вопросам защиты тайны при рассмотрении материалов; а также с авторами публикаций; - проведение аналитической работы, направленной на выявление данных, кот. в своей совокупности могут создать возможность утечки тайны. Заседание комиссии оформляется протоколом, в кот. отражается ход рассмотрения материалов и принятое решение о разрешении или запрещении публикации. По итогам рассмотрения, в случае положительного решения, составляется акт экспертизы, один вариант кот. передается автору публикации.

Рекламная деят-ть. Закон "О рекламе". Реклама - распространяемая в любой форме с помощью любых ср-тв И о физ. или юр. лице, товарах, идеях и начинаниях (рекламная инфа), кот. предназначена для неопред. круга лиц и призвана формировать или поддерживать интерес к этим физ., юр. лицам, товарам, идеям и начинаниям. Теле- и радиореклама практически безопасна с точки зрения ЗИ. К числу наиболее уязвимых видов рекламы относятся: общение с прессой и общественностью, участие в выставках и издание рекламно-инф-ых материалов.

Персонал дб инструктирован и предупрежден об особенностях общения с прессой и общественностью; создание круга "своих" журналистов; создание условий, при кот. инфа об орг-ии могла "выходить" через спец-о созданный, контролируемый канал (используются пресс-службы, отделы по связям с прессой и общественностью).

Особые меры по ЗИ предусматриваются при орг-ии выставок: подготовка двух видов рекламных материалов, используемых на стенде: рассчитанных на широкую публику и предназначенных специалистам (выдается только после запроса и выяснения целей ее получения); инструктаж работников на стенде; отбор персонала для участия в выставке (специалисты, являющиеся носителями секретов, участия не принимают); должен принимать участие работник СБ; орг-ия охраны экспонатов.

4. 9. Организационная защита конф продукции в процессе ее изготовления, хранения и транспортировки.

Проведение мероприятий по обеспечению режима осущ-ся руководителями структурных подразделений с участием сотрудников СБ или РСО, с привлечением спец-ов из числа научных сотрудников, инженерно-технических работников предприятия. Закрытые изделия и их составные части, кроме действующих наименований, в целях зашифровки их назначения заказчиками или разработчиками присваивается условное наименование (шифры, условные обозначения, индексы). Уполномоченные лица обязаны вести повседневный контроль за соблюдением режима, проверки в подразделениях: Если гриф ограничения КТ, С, СС, то не реже 1 раза в квартал. В случае ОВ - 1 раз в месяц. Составляется акт.

Общая проверка наличия на предприятии проводится 1 раз в год по состоянию на 1 января. Комиссия для проверки назначается руководителем предприятия. Проверка проводится в соотв. с Инструкцией по проведению проверки наличия док-ов и изделий. Изделия должны состоять на учете в период разработки, хранения и транспортировки, а также в момент эксплуатации, изготовления и испытания.

Особенности: 1) Если опытное производство происходит при отсутствии технологической док-тации, то учет производится с начала изготовления по закрытым чертежам. 2) Серийное производство учитывается с момента, указанного в технологических или сопроводительных картах на изделие, при отсутствии учет начинается со стадии чертежа. 3) полученное с другого предприятия изделие учитывается сразу с момента поступления. Все закрытые изделия учитываются отдельно от открытых, по чертежным обозначениям, заводским, инвентарным номерам на изделии или бирке. Учет изделий осущ-ся в учетном журнале. Срок хранения не менее 5 лет. Указывается условное наименование (шифры, индексы). Для госпредприятий - унифицированный журнал. Если кол-во таких изделий велико, то назначается уполномоченное лицо для работы с ними.

Основания для снятия с учета: Расписка получателя в накладной, печать орг-ии, кот. забирает изделие; получать изделие должны доверенные лица. Реестр спец. связи с распиской, печатью. Акт о производственном уничтожении изделия. Акт об израсходовании закрытого изделия при испытании, экспертной работе и т. д. Акт о вмонтировании комплектных изделий. Акт о рассекречивании.

Хранение изделий: В помещениях, хранилищах, кот. отвечают режимным требованиям. Изделия хранятся отдельно от открытых. Доступ ограничен. В том случае, если необходим доступ на: Цехи, склады, то необходим список лиц, утвержденный руководителем цеха, склада, кот. согласовывается с начальником РСО, СБ или его заместителем. Склад готовой продукции, то необходимо письменное разрешение руководителя предприятия, склад дб изолирован от предприятия.

Режим при получении и отправке изделия: Представители получателя должны иметь доверенность, кот. дб заверена нашим руководителем РСО. В том случае если изделие связано с ГТ, то доверенность дб заверена гербовой печатью, визируется начальником РСО, СБ. Прием, сдача осущ-ся по накладным. Далее осущ-ся проверка целостности упаковки, пломб, кол-во пломб, их номера, описывающие их оттиски, учитываются в сопроводительных док-тах. В том случае если обнаруживается вскрытие, то ответственные лица составляют акт о нарушениях, сообщают отправителю, а также в ФСБ. Отправка изделия осущ-ся 1)с письменного разрешения руководителя предприятия (накладная N20) + Экспедиционное поручительство на доставку изделия (N41- заказ транспорта, охрана). 2) с разрешения для выноса (вывоза) за пределы предприятия (пропуск, подписанный начальником производства, начальников РСО, СБ на основании накладной N20 и N41). Эксплуатационная, ремонтная док-тация (гриф ограничения) отправляется спец. почтой одновременно с отправкой изделия. Режим при транспортировке: Осущ-ся под контролем РСО, СБ. Руководителем предприятия назначаются ответственные лица (должны иметь допуск).

Требования: Упаковка, маскировка. Даже если все составные части несекретны, то маскируется все, Не привлекающая к себе охрана. Если ГТ, то используется ведомственная или вневедомственная охрана

Уничтожение изделий: Если уничтожаются изделии, кот. отбракованы или надобность в них отпала, то составляется комиссия (специалисты и сотрудники РСО, СБ, уполномоченные лица). Составляется акт N21 на уничтожение изделия, утверждается руководителем предприятия, руководителем производства (если большое производство). После акта производится демонтаж по технологии, кот. указана в техническом паспорте изделия. Паспорт изделия и вся сопутствующая док-тация также уничтожается по акту. Если изделие нельзя уничтожить целиком, то проставляется отметка в акте о том, что изымаются составные части. Акт N21 хранится с спец-о заведенных делах не менее 5 лет, гриф зависит от сведений.

4. 10. Орг-ия внутреннего (служебного) расследования по фактам нарушения режима конф-ти.

Служебное (внутреннее) расследования - это действия администрации предприятия, направленные на выяснение обстоятельств разглашения сведений, сост. гос. или КТ, либо утраты док-ов или изделий, содержащих свед-я, составляющие ГТ или КТ, определение степени их ограничения, розыск утраченных док-ов или изделий, выявление виновных в этом лиц, а также установление причин и последствий совершенного правонарушения.

Цели: поиск утраченного док-та (носителя, изделия); анализ ситуации для принятия мер по предотвращению повторения выявленного нарушения; создание доказательной базы для привлечения виновных лиц к установленной законодательством ответственности.

Основания: док-т, удостоверяющий нарушение, проверка, в ходе которой было выявлено нарушение.

Задачи: установление обстоятельств нарушения, в тч времени, места и способа его совершения; обследование мест возможного нахождения утраченного конф док-та (носителя, изделия и т. п. ); установление лиц, непосред-но виновных в данном нарушении; выявление причин и условий, способствовавших нарушению.

Для проведения внутреннего расследования руководитель орг-ии (предприятия) приказом или распоряжением назначает комиссию в составе не менее трех человек. Состав комиссии.: представитель СБ и конф. делопр-ва, представителя подразделения, в кот. зафиксировано нарушение (но не состоящего в подчиненности с лицами, в отношении кот. проводится расследование), юриста (сотрудника кадрового подразделения).

Если имеется вышестоящая орг-ия, то о факте выявленного нарушения и назначении внутреннего расследования информируется руководитель подразделения (должностное лицо), отвечающее за защиту инфы в этой орг-ии, например, если ГТ, то ФСБ. Вышестоящая орг-ия может направить своего представителя для участия в работе комиссии, возглавить ее или назначить свою комиссию.

Служебное расследование должно проводится в минимально короткие сроки, общая продолжительность расследования не должна превышать одного месяца. Комиссия по проведению служебного расследования обязана: разработать план проведения служебного расследования; вести розыск непредъявленного носителя; установить обстоятельства утраты (разглашения): время, место, способы; установить лиц, виновных в утрате (разглашении); установить причины и условия, способствовавшие утрате (разглашению).

В общем виде права и обязанности комиссии включают в себя:

-- опрос работников, допустивших утрату док-ов (носителей, изделий) или разглашение конф инфы, а также лиц, кот. могут оказать содействие в установлении обстоятельств произошедшего;

-- проведение осмотров территории, здания, помещений (комнат, кабинетов), хранилищ, сейфов, шкафов, спецпортфелей, столов и др. объектов и предметов, кот. могут иметь отношение к факту нарушения или в кот. могут находиться утраченные док-ты;

-- проверку всех конф док-ов, а также журналов (карточек) учета и сопроводительных док-ов, отражающих поступление и движение утраченных док-ов;

-- привлечение (с разрешения соотв. руководителя) др. работников к проведению отдельных действий в рамках внутреннего расследования.

Работник, в отношении кот. проводится расследование, дб ознакомлен с приказом (распоряжением) о проведении расследования. Все действия членов комиссии и полученные в ходе расследования материалы подлежат письменному оформлению (актами, справками и т. п. ). Истребование от работника объяснения в письменной форме для установления причины нарушения явл-ся обязательным. В случае, когда работник отказывается дать письменные объяснения, его устные показания или отказ от них письменно фиксируются членами комиссии (не менее чем за двумя подписями). Для организованного и оперативного проведения внутреннего расследования комиссия разрабатывает версии причин нарушения (например, о возможном местонахождении пропавшего док-та) и составляет план про ведения необходимых мероприятий (поиска) по каждой из этих версий.

После того, как возможные меры поиска док-та (носителя, изделия) исчерпаны, но не привели к его обнаружению, полностью выяснены обстоятельства утраты и установлены виновные лица, поиск док-та может быть прекращен. Решение о прекращении поиска утверждается должностным лицом, назначившим внутреннее расследование (по мотивированному заключению комиссии). Если это док-ты С, СС, ОВ (они не находятся), то возбуждается уголовное дело. Прекращение служебного расследования по решению следователя.

Одновременно с комиссией по проведению внутреннего расследования руководитель орг-ии (предприятия) может поручить экспертной комиссии орг-ии (предприятия) определить актуальность утраченной (разглашенной) конф инфы, а также назначить комиссию по определению (подсчету) ущерба (убытков) по расследуемому факту, из компетентных и незаинтересованных должностных лиц. Указанные задачи могут возлагаться на одну комиссию (с назначением в ее состав соответствующих спец-ов). По окончании внутреннего расследования комиссия представляет руководителю орг-ии (предприятия): заключение по факту разглашения; заключение о степени секретности разглашенных док-ов; письменные объяснения виновных, очевидцев, опрошенных; акты проверок док-ции, помещений, изделий; любые др. док-ты, имеющие отношение к служебному расследованию. В случае нахождения во время расследования утерянного док-та (носителя, изделия) в заключении комиссии отражаются причины его временного отсутствия. Заключение дб подписано всеми членами комиссии. При несогласии с выводами или содержанием отдельных положений член комиссии, подписывая заключение, приобщает к нему свое особое мнение (в письменном виде). Заключение по результатам расследования подлежит утверждению должностным лицом, назначившим это расследование.

Работник, в отношении кот. проводится расследование, или его уполномоченный представитель имеют право знакомиться с материалами расследования и требовать приобщения к материалам расследования представляемых ими док-ов и материалов. Работник, в отношении кот. проведено расследование, дб ознакомлен с его результатами, что удостоверяется его подписью на утвержденном заключении. Решение о привлечении к ответственности работника принимается только после завершения расследования и оформляется приказом. Первый экземпляр заключения с резолюцией руководителя, копия приказа (выписка) по результатам расследования, все материалы внутреннего расследования, включая док-т (копию), послуживший поводом для назначения расследования, и копию приказа (распоряжения) о назначении комиссии (комиссий), подлежат хранению в отдельном деле. При необходимости заключение и материалы расследования могут иметь гриф конф-ти. В этом случае они учитываются по журналу учета изданных док-ов и хранятся в подразделении КД. Один экземпляр заключения направляется в вышестоящую организацию (если она есть). Учет утрат конф док-ов (носителей, изделий) или фактов разглашения инфы, составляющей коммерческую (служебную) тайну, ведется в спец-ом журнале учета. Анализ материалов расследования позволяет разработать конкретные меры по предотвращению нарушений режима охраняемой законом тайны.

Ответственность может наступать только при наличии определенных условий: если лицо, утратившее инфу, давало предприятию обязательство по сохранению конф-ти инфы; если лицо, утратившее инфу, своевременно официально уведомлено (под роспись), что именно эти свед-я составляют КТ и это док-тально оформлено (перечень сведений); если разглашение таких сведений нанесло действительный ущерб предприятию. Виды санкций за разглашение: Дисциплинарная ответственность - взыскание: замечание (устно), выговоры от руководства (письменно), перевод на работу, не связанную с конф инфой, увольнение; Мат-ая ответственность - законодательством предусматривается 2 вида мат-ой ответственности: ограниченная и полная; Уголовная ответственность.

4. 11. Особенности учета носителей инфы и проектов конф док-ов.

основные угрозы: утеря, хищение или копирование черновика, оригинала док-та; утрата инфы за счет ее док-ния на случайном носителе; подготовка к изданию док-та, не обоснованного деловой необходимостью или не разрешенного для издания; включение в док-т избыточных конф сведений; несанкц-ое изготовление док-та в условиях, не гарантирующих сохранность носителя и инфы; утечка инфы по акустическому, визуальному и другим техническим каналам.

Секретная инфа должна фиксироваться только на носителях, прошедших предварительный учет в РСО. Это мб:

для текстовых док-ов - спецблокнот, рабочая и стенографическая тетрадь, отдельные листы бумаги, типовые формы и бланка док-ов, для чертежно-графических док-ов - листы ватмана, кальки, пленки, координатной бумаги и др., для машиночитаемых док-ов - магнитная лента, диск, дискета, CD-ROM и др., для аудио и визуальных док-ов - магнитная лента, диск, кинопленка и др., для фото док-ов - фотопленка, микрофотопленка, фотобумага.

Задачи учета носителей инфы (док-ов предварительного учета): присвоить носителю категорию, включить инфу о ноем в справочно-информационную и поисковую систему для проверки наличия носителя и выполнения справочных процедур по составу и местонахождению носителей; док-ние фактов перемещения носителей, фиксирование местонахождения носителя и его частей (листов); контроль за работой исполнителей при составлении ими док-ов; контроль за своевременным уничтожением носителей и их отдельных частей, потерявших практическую значимость. Работа сотрудников указанных подразделений с носителями состоит из след-их этапов: Оформление и регистрация носителей, Получение и возврат исполнителем учтенных носителей инфы, Обработка возвращенных носителей инфы.

В процессе оформления и регистрации носителей закрытой инфы решаются след-щие задачи ЗИ от возможных угроз: предупреждение нецелевого использования носителя и его неправильного хранения; предупреждение тайной подмены носителя, изъятия из него отдельных частей; предупреждение тайной разборки кассет, футляров и иных оболочек технических носителей инфы; обеспечение сохранности и порядка использования носителя за счет включения в справочную систему.

Оформление и регистрация носителей: первичного оформления носителя; регистрации носителя; окончательного оформления носителя.

Целью процедуры первичного оформления носителя явл-ся спец. подготовка обычного носителя инфы к фиксированию в нем закрытой для широкого доступа инфы и обеспечению сохранности носителя и записей, кот. в нем будут сделаны.

Целью процедуры регистрации носителя явл-ся фиксирование факта включения носителя в категорию носителей огр. доступа и присвоения ему учетного номера, обеспечивающего поиск носителя в справочн. системе. Носители текстовой инфы регистрируются в журнале учета рабочих (стенографический) тетрадей (ф. 7). Бумажные носители технической док-тации регистрируются на карточках предварительного учета технических док-ов (ф. 35). Карточки учитываются в журнале регистрации и учета движения карточек ф. 35. Технические носители инфы в большинстве случаев берутся на инвентарный учет. Целью процедуры окончательного оформления носителя явл-ся фиксирование учетных данных на самом носителе (проставление рег. номера, маркировки)

Особенности изготовления конф док-ов.

Печатание конф док-ов производится в службе КД или выполняющим те же ф-ии - секретарем-референтом. Печатание док-ов могут осуществлять сами исполнители непосред-но на рабочем месте при условии исключения разглашения или утечки конф инфы. Особо ценные конф док-ты изготовляются только спец-о выделенным для этой работы лицом и в соответствующим образом защищенном помещении. Как правило, на принтере ЭВМ изготовляется всегда только один экземпляр док-та. После его окончательного согласования с него снимается в службе КД нужное кол-во копий, указанное на обороте док-та.

Изготовление док-та сост. из: приема черновика док-та от исполнителя, регистрации черновика, печатания док-та и выдачи черновика и проекта док-та исполнителю, снятия копии с док-та, производства выписки из док-та, передачи карточки ф. 46 на исходящий участок (участок изданных док-ов), производится всегда централизованно, в машбюро РСО (СБ) или спецчасти. В процессе изготовления конф док-ов решаются след-щие задачи ЗИ от возможных угроз: предотвращение несанкц. изготовления док-та самим исполнителем, обеспечение тайны инфы за счет изготовления док-ов в спец-о оборудованном помещении и исключения доступа кого-либо к черновикам и док-том, перекрытия технических каналов утечки инфы, док-ние фактов перемещения док-та между исполнителем и сотрудниками машинописного бюро, обеспечение проверок наличия и комплектности док-ов за счет нанесения на док-т учетных и иных отметок.

Черновики конф док-ов регистрируются. Сопроводительные письма и приложения к ним печатаются за разными регистрационными номерами. При карточном учете док-ов отпечатанный док-т и черновик выдаются исполнителю старшей машинисткой под роспись в карточке. При журнальном учете док-ов отпечатанный док-т и черновик передаются под роспись в журнале на исходящий участок, где они регистрируются в журнале учета подготовленных (изданных) док-ов и затем выдаются исполнителю под роспись в этом журнале. Учетный номер сообщается в машбюро и вносится в журнал учета док-ов, отпечатанных в машбюро. Снятие копий с док-ов и производство выписок выполняется в машбюро при наличии на последнем листе док-та разрешения соотв. руководителя и начальника РСО. Копии и выписки учитываются за новыми машинописными номерами. Дополнительно размноженные экземпляры док-та учитываются за номером этого док-та. Нумерация дополнительно размноженных экземпляров продолжается от последнего номера ранее учтенных экземпляров этого док-та.

Этап издания док-ов выполняется исполнителем док-та. Издание док-та включает в себя: подготовка док-та к изданию, согласование проекта док-та, подписание док-та, утверждение док-та (при необходимости). Изданные док-ты подлежат регистрации, рассылке и подшивке в дело. На участок изданных док-ов исполнитель сдает: все экземпляры подписанного док-та, черновик док-та, инициативный входящий док-т с отметкой об исполнении и направлении в дело. Передача док-ов осущ-ся с отметкой в соответствующих учетных формах док-ов и списанием их с исполнителя во внутренней описи док-ов, находящихся у исполнителя.

4. 12. Назначение и особенности учета конф док-ов.

Учет конф док-ов явл-ся одной из важнейших составных частей КД. Цель: сохранность инфы, предотвращение утечки.

Угрозы в процессе учета: выпадение док-та из учетной системы за счет ошибочных или злоумышленных действий персонала, включение сведений из док-ов в учетные формы, утечка инфы по техническим каналам, нарушение персоналом порядка выполнения учетных операций и ведения справочно-информационного банка данных.

Виды учета: учет пакетов, содержащих конф док-ты (пакетный учет), учет входящих (поступивших, входных) док-ов, •учет носителей инфы (док-ов предварительного учета), •учет изданных (подготовленных исходящих и внутренних) док-ов, •док-ов выделенного хранения, •учет журналов, картотек и законченных производством дел. В регистрационных формах необходимо фиксировать не только данные о самом док-те, но и любое движение и местонахождение док-та, что позволяет обеспечивать персональную ответственность за его сохранность. Учет конф док-ов подразделяется на 3 вида: изданных док-ов, поступивших док-ов, док-ов выделенного хранения (все док-ты, не подлежащие подшивке в дела). Независимо от вида учета конф док-ты можно учитывать в журналах или карточках (при большом объеме,тк сокращает время поиска). При карточном способе учета необходимо вести контрольный журнал по каждому виду карточного учета. Журналы или картотеки ведутся погодно. Журналы и картотеки в совокупности образуют справочно-инф. банк данных.

Учет изданных конф док-ов. Осущ-ся на стадии подготовки проектов, все доки, прошедшие регистрацию в журнале учета черновиков. Учет изданных док-ов охватывает все машинописные и рукописные док-ты.

Учет поступивших конф док-ов Конф док-ты должны пересылаться между предприятиями в соотв. образом оформленных запечатанных пакетах. При получении: - проверить на пакете наличие грифа конф-ти, соот-е адресата, проставление номеров док-ов и предприятия-отправителя, целостность упаковки, сохранность прошивки и оттиска печати; - убедиться, что содержимое пакета не просматривается; - проверить в сопроводительном док-те соот-ие наименований адресата и отправителя, номеров док-ов, номеров экземпляров (если указаны), грифа конф-ти; - расписаться в сопроводительном док-те за принятые пакеты с проставлением даты, времени и печати или спец. штампа подразделения КД. Поступившему док-ту присваивается очередной номер, проставляемый в журнале учета поступивших пакетов. Одновременно данные о док-те заносятся в журнал или карточку учета поступивших конф док-ов,

Выделенное хранение Док-т, подлежащий выделенному хранению, переводится затем без сопроводительного письма на учет док-ов выделенного хранения, а носитель - на учет машинных носителей. Сопроводительное письмо подшивается в дело.

При взятии на учет док-та, переводимого с учета изданных док-ов, указывается подразделение данного предприятия, разработавшее док-т, учетный номер док-та по журналу учета изданных док-ов, в журнале учета изданных док-ов проставляются номер, присвоенный док-ту по журналу учета док-ов выделенного хранения, и кол-во переведенных на выделенное хранение экземпляров. Взятые на учет выделенного хранения текстовые док-ты помещаются в обложку и брошюруются (прошиваются), при этом после последнего листа док-та помещается лист с заверительной надписью, в которой указывается прописью кол-во листов в док-те, заверяемое подписью (с расшифровкой) лица, составившего заверительную надпись, с проставлением даты. На текстовых док-тах учетные номера, присвоенные по журналу учета док-ов выделенного хранения, проставляются в верхнем левом углу обложки и титульного листа (при его наличии). В правом верхнем углу проставляются гриф конф-ти и под ним номер экземпляра. На чертежно-графических док-тах учетные номера проставляются на каждом листе в местах.

4. 13. Классификация, формирование и хранение дел, содержащих конф док-ты.

Дело - совокупность док-ов, относящихся к одному вопросу или участку деят-ти и помещенных в отдельную обложку (папку). Номенклатура дел - систематизированный перечень наименований дел, заводимых на предприятии, с указанием сроков их хранения. Предназначена для: распределения и группировки исполненных док-ов в дела, учета дел и проверки их наличия, установления сроков хранения дел, закрепления дел за конкретными исполнителями.

Составление ном.: изучение док-ов предприятия (подразделения), формулирование заголовков дел, расположение заголовков в номенклатуре по степени их значимости, установление состава исполнителей, допускаемых к каждому делу в соотв. с распорядительными письменными указаниями правомочных руководителей и схемой разграничения доступа к док-ми, согласование с экспертной комиссией предприятия, определение сроков хранения дел, согласование с ведомственным архивом, подписание руководителем РСО, утверждение руководителем предприятия, рассылка выписок из номенклатуры по структурным подразделениям (спецчастям) при необходимости. В номенклатуру не включаются дела и док-ты, для кот. установлены инвентарные формы учета, например, техническая док-тация, личные дела сотрудников, истории болезней, док-ты по рассмотрению изобретений и открытий и др.

Форма номенклатуры дел с док-ми: порядковый учетный номер, индекс подразделения, гриф дела, наименование (заголовок) дела, фамилия исполнителя, кот. предоставлено право пользоваться делом, номер тома, дата: заведения, окончания, кол-во листов, срок хранения и номер статьи по перечню, отметка о движении: где хранится, фамилия ответственного за формирование и сохранность, расписка и дата, расписка лица, оформившего закрытие дела, инвентарный номер по журналу, примечания. Номенклатура дел издается с грифом, учитывается по журналам или в карточке и хранится в течение года у руководителя РСО. После проведения годовой проверки наличия док-ов она подшивается в дело с номенклатурами. Второй экземпляр номенклатуры передается в ведомственный архив. Утвержденная номенклатура дел действует в течение ряда лет. В конце каждого года она уточняется, переоформляется и вводится в действие с 1 января.

Дела с конфи док-ми включаются в общую номенклатуру дел вместе с неконф делами. Док-ты постоянного срока хранения комплектуются в дела отдельно от док-ов временного срока хранения. Номенклатура явл-ся основанием для заведения дел.

Формирование дела - отнесение док-ов к опред. делу в соотв. с номенклатурой и систематизация док-ов внутри дела.

Угрозы в процессе формирования дел: получение исполнителем при работе с делом большего объема инфы, чем это ему необходимо для работы, утеря контроля за использованием док-та в результате включения его в не предназначенное для него дело, утрата (утеря, кража) дел и док-ов, находящихся в деле, подмена док-ов и дел, ошибочная выдача дела исполнителю, не имеющему права знакомиться с данным делом, умышленное или случайное несанкц-ое уничтожение дел и док-ов, гибель док-ов и дел в результате экстремальной ситуации,доступ к делам посторонних лиц в результате ошибочных действий персонала или невыполнения персоналом распоряжения об уничтожении док-ов и дел в условиях экстремальной ситуации.

При формировании док-ов в дела решаются след-щие задачи ЗИ от возможных угроз: жесткое соблюдение разрешительной системы доступа исполнителей к делам, обеспечение взаимосвязи местонахождения док-та в деле с его предыдущими учетными номерами, соблюдение спец. правил оформления дел, раздельное хранение дел различного уровня конф-ти, обеспечение физической сохранности.

Дела заводятся и формируются централизованно на участке учета и хранения дел, не у исполнителей. Допускается формирование дел в др. подразделениях РСО (например, в отделе режима, в спецчастях). Дата заведения дела должна соответствовать дате поступления первого док-та на подшивку в дело. В дела группируются док-ты одного календарного года, не более 250л. На подшивку док-ты принимаются от работников участков РСО, ответственных за их учет, по передаточному журналу. Док-ты принимаются вместе с учетными карточками. Внутренняя опись дела - перечень док-ов, содержащихся в деле, с указанием их учетных номеров, грифа, даты, вида, краткого содержания и номеров листов, соответствующих их расположению в деле. Она подшивается перед док-ми и имеет самостоятельную нумерацию листов. Свед-я о док-те вносятся в опись при его подшивке в дело. В описи указывается дата подписания или утверждения док-та, а не дата его получения или отправки. Список лиц, допущенных к делу можно оформлять на карточке разрешений. Необходимо осуществлять контроль за тем, чтобы в делах, к кот. допущено несколько исполнителей, не оказались док-ты огр. доступа, даже если по тематике они связаны с данным делом. Для таких док-ов заводится спец.дело или док-ты берутся на выделенное хранение. Основной принцип хранения дел - персональная ответственность за их сохранность. Изъятие док-ов из дела производится в исключительных случаях по решению руководителя подразделения и с разрешения руководителя РСО. Вместо изъятых из дела док-ов помещается справка-заместитель, в которой указываются основания изъятия док-та, куда он отправлен или данные об уничтожении.

2) Процедура оформления дела при его закрытии. После последнего док-та в дело подшивается лист- заверитель, где указ. кол-во листов в деле, опечатываются концы ниток на листе-завер. сургучной печатью или пломбой. На обложке дела ставится кол-во листов и крайние даты доков. Журнал учета журналов, картотек и законченных производством дел явл-ся основным учетным док-ов закрытых дел и ведется в течение ряда лет.

4. 14. Передача док-ов в архив, уничтожение док-ов.

Назначение ценности док-ов: С целью определения сроков хранения док-ов и отбора их для архивного хранения и уничтожения проводится экспертиза ценности док-ов. Дб охвачены все конф дела и док-ты выделенного хранения за соотв. период времени. Комиссия включает 3 - 5 человек под руководством одного из заместителей руководителя предприятия. Проверяется соот-ие содержания док-ов их грифам. Срок хранения дела в целом устанавливается по наивысшему сроку хранения док-ов, находящихся в деле. По завершении экспертизы в протоколе отражается: - какие дела и док-ты выделенного хранения подлежат передаче на архивное хранение; какие док-ты из каких дел и в какие дела необходимо перешить; какие дела, док-ты из дел и док-ты выделенного хранения подлежат уничтожению; с каких дел, док-ов выделенного хранения или отдельных док-ов, подшитых в дела, дб снят гриф конф-ти.

Опись дел - первичный учетный док-т дел. На научно-техническую, проектную, конструкторскую и иную спец-ую док-тацию составляются отдельные описи. На дела и док-ты выделенного хранения, подлежащие передаче в госархив, опись составляется в 4 экземплярах. Эта опись дополнительно утверждается протоколом экспертно-проверочной комиссии госархива. На дела и док-ты, не подлежащие передаче в госархив, опись составляется в двух экземплярах: 1)если дела и док-ты передаются в архив предприятия 2)существуют в одном экземпляре. Подготовка док-ов к уничтожению включает в себя: рассмотрение док-ов и дел экспертной комиссией, составление и утверждение в установленном порядке описей дел постоянного и длительного сроков хранения, получение разрешения руководителей соответствующих структурных подразделений предприятия на уничтожение док-ов и дел, док-ние разрешения росписью руководителей под отметками в учетных формах.

Процедура составления акта на уничтожение док-ов включает: включение каждого отобранного к уничтожению док-та (дела) отдельной позицией в акт (каждый том записывается отдельной позицией), оформление в акте итоговой записи с указанием количества уничтожаемых дел, томов и док-ов, подписание итоговой записи сотрудниками, составившими акт, согласование акта с ведомственным архивом, руководителями структурных подразделений, подписание акта членами экспертной комиссии, утверждение акта руководителем предприятия, проведение проверки наличия и комплектности док-ов, включенных в акт, проверка правильности составления и оформления акта.

По акту, подписываемому членами экспертной комиссии уничтожаются: дела, учтенные по номенклатуре дел (включенные в номенклатуру дел), технические и др. док-ты, взятые на инвентарный или предварительный учет, подлинники кино, фото, аудио, видео док-ов. По акту, не рассматриваемому на экспертной комиссии, уничтожаются: проекты технических док-ов, взятых на предварительный учет, черновики и проекты, перепечатанные и бракованные листы, копировальные и др. промежуточные материалы, образовавшиеся при изготовлении док-ов особой важности, корректурные оттиски, лишние экземпляры технической и управленческой док-тации, справочно-инф. литература, картотеки (журналы) учета док-ов, сроки хранения кот. истекли. Без акта уничтожаются: испорченные листы спецблокнотов, корешки с контрольными листами спецблокнотов, черновики и проекты док-ов, состоящих на машинописном или предварительном учете, внутренние описи док-ов, находящихся у исполнителей, и др. подобные док-ты. Об уничтожении этих док-ов делается отметка в учетной док-тации. Док-ты скапливаются в металлическом опечатываемом ящике и затем уничтожаются в помещении РСО.

Процедура уничтожения док-ов и ее док-ние: Док-ты, срок хранения кот. не истек, уничтожаются на основании акта, утверждаемого руководителем предприятия. Уничтожение дел, док-ов и учетных журналов (картотек) должно производиться путем сжигания или с помощью бумагорезательной машины. При уничтожении док-ов вне территории предприятия доставка их к месту уничтожения производится на служебном транспорте и принимаются меры, исключающие доступ к док-ми посторонних лиц. После уничтожения производятся отметки в номенклатуре, в журнале учета док-ов выделенного хранения. Отметки об уничтожении отдельных док-ов из дел проставляются в описях док-ов дел. Вместо уничтоженных док-ов в дела помещаются справки-заместители.

4. 15. Порядок работы с конфи док-ми.

При выходе док-ов за пределы РСО угрозы возрастают за счет включения в работу значительного числа сотрудников предприятия. Под исполнителями док-ов понимаются все лица, кот. в любой форме причастны к этому док-ту - готовят его, знакомятся с ним, визируют и подписывают. Посторонним лицом явл-ся любое лицо, не имеющее права доступа к доку.

При распределении конф-ых док-ов по руководителям и исполнителям получает практическую реализацию разрешительная система доступа к док-ми. Системой доступа должно быть определено: кто из руководителей предприятия (подразделения), кому из исполнителей и с какими категориями док-ов разрешает знакомиться, а также порядок оформления таких разрешений в зависимости от категорий док-ов. Руководителям в пределах их полномочий разрешается знакомить исполнителей только с теми док-ми и частями этих док-ов, кот. требуются для выполнения ими служебных обязанностей. Разрешение дается руководителем только в письменной форме.

Исполнители знакомятся с док-ми в помещении РСО. Для работы в подразделениях док-ты выдаются лично исполнителям или уполномоченным РСО в этих подразделениях. Док-т выдается исполнителю или уполномоченному под роспись в 1-м экземпляре карточки. После этого карточка помещается: 1-й экземпляр - в картотеку "За исполнителями", 2-й экземпляр - в валовую картотеку. При приеме док-та от исполнителя внимательно проверяется комплектность док-та и сохранность всех его частей, их физическая целостность. За возврат док-та сотрудник входящего участка расписывается в первом экземпляре учетной карточки и в описи док-ов, находящихся у исполнителя. Одновременно во втором экземпляре карточки или в контрольном журнале указывается новое местонахождение док-та.

Для работы с конфи док-ми исполнитель должен быть обеспечен: постоянным оборудованным рабочим местом; личным сейфом; номерной личной металлической печатью; экземплярами бланков внутренней описи док-ов, находящихся у исполнителя.

Исполнители должны иметь машинограмму перечня находящихся у них конф-ых док-ов, дел, бумажных и технических носителей информации. Электронная опись ведется в службе конф-ой док-тации. По окончании рабочего дня исполнитель проводит проверку наличия и комплектности конф-ых док-ов и сдает их, в службу конф-ой док-тации. Оставлять док-ты и дела на рабочем месте запрещается.

4,18. Работа с персоналом, допускаемым к конф инфы.

Подбор и расстановка кадров осущ-ся из внутренних перестановок (в основном, когда допуск к наиболее важной конф И) и за счет найма на рынке труда. В качестве критериев подбора рассматриваются требования к проф-ым (образование, опыт и стаж работы и др. ) и личным качествам (возраст, пол, психологические особенности личности, социальный статус и др. ) потенциальных претендентов, на каждую конкретную должность.

Изучение и отбор персонала: собеседование; тестирование; изучение личных док-ов, док-ов об образовании, трудовой деят-ти, рекомендаций, хар-ик; проверка подлинности док-ов; изучение и подтверждение полноты и подлинности сведений, изложенных в анкетах и автобиографии; проверка финансового состояния и кредитной истории; медицинский осмотр; проведений конкурсов на замещение вакансий; аттестация сотрудников предприятия в целях продвижения проф-ой квалификации, возможности выдвижения на более высокие должности. Претендент должен дать письменное обязательство о неразглашении конф. и. (Это указ. в труд. договоре или отдельно) Предупреждается об ответственности за разглашение этой И.

Работа с персоналом, обладающим конф И, осущ-ся в течение всего времени его пребывания в орг-ии. Можно выделить несколько основных направлений текущей работы с персоналом: 1. Регулирование доступа к защищаемой инфе 2. Обучение персонала в соотв. с программами по безопасности и ЗИ. 3. Мотивация персонала к деят-ти по обеспечению безопасности и ЗИ.

Первый этап имеет своей целью ознакомление вновь принятого сотрудника с целями, задачами, основными требованиями ЗИ, сформулированными в норм-методических док-тах, а также обучение по спец. программам методам, процедурам, используемым в процессе ЗИ на каждом конкретном рабочем месте. Второй этап предусматривает более углубленное изучение проблем ЗИ и нацелен на развитие навыков работы, ознакомление с изменяющимися требованиями системы ЗИ, представляет собой повышение квалификации сотрудника и программы второго этапа рассчитаны на все время пребывания сотрудника в орг-ии.

Формы и методы обучения, используемые на первом и втором этапах, практически одни и те же (лекции, семинары, конференции, индивидуальные тренинги). Процесс обучения, его планирование и орг-ия осущ-ся в основном СБ при участии службы упр-ия персоналом. Орг-ия обучения персонала преследует цель не только обучения, но и мотивации персонала к деят-ти по ЗИ. Под мотивацией понимается целенаправленное воздействие на личность, побуждающее ее изменять поведение в определенных целях и действовать в соотв. с этими целями. Стимулирование труда применяется для поощрения добросовестности и бдительности персонала при выполнении обязанностей по ЗИ (мат-ое, финансовое, моральное, продвижение по службе).

Важность задач по ЗИ и достаточно жесткие требования режима ее защиты предполагают необходимость контроля работы персонала со стороны руководства орг-ии. Контроль: аттестация сотрудников; регулярные проверки соблюдения сотрудниками требований по ЗИ; самоконтроль сотрудников. Объявление выговора, понижение в должности, лишение премии, отстранение от работы с конф И, увольнение. Беседа с увольняющимися имеет целью предотвратить утрату И или ее неправильное использование бывшим сотрудником в результате его природной или умышленной забывчивости. Следует напомнить о подписанном обязательстве о неразглашении и после увольнения сотрудника по крайней мере в течении года за его деят-тью будет осущ-ся наблюдение.

4. 19. Угрозы инфы при док-нии и задачи ее защиты.

"Док-ние инфы" - запись необходимых сведений в определенной последовательности тем или иным способом с целью создания док-та, т.е. с целью запечатления, сохранения и передачи инфы во времени и пространстве.

Существующие способы док-ния: текстовое док-ние, техническое док-ние, фотодок-ние, кинодок-ние, фонодок-ние, видеофонодок-ние, док-ние на естественном языке с помощью ТС, док-ние на языках общения человека с техническими ср-вами. (Док-ние на языках общения человека с техническими ср-вами - регистрация инфы, полученной в результате использования компьютерной технологии, на языках программирования). Для перечисленных способов док-ния используются след-щие соот-ие ср-ва: письмо, рисунок, чертеж, графика, фотографирование, киносъемка, звукозапись, видеофонозапись, оргтехника, программирование.

Угрозы док-нной инфе составляют способы НСД: наблюдение, хищение, копирование, фотографирование, подделка (модификация), уничтожение, порча, разрушение, деформация, негласное ознакомление. При док-нии конф инфы ср-вами организационной техники велика вероятность использования таких способов НСД, как: подслушивание, перехват, негласный сбор и обработка, копирование.

Наиболее частые угрозы: Несанкционированный доступ постореннего лица к док-ми, делам и базам данных; Утрата док-та или отдельных частей, носителя чернового варианта док-та или рабочих записей; Разглашения персоналом конф И или утечки по техническим каналам, считывания данных в чужих массивах, использования остаточной И на копировальных носителях; Подмена док-ов, носителей и их частей с целью фальсификации, а также сокрытия факта утери, хищения; Случайное или умышленное уничтожения ценных док-ов или баз данных, несанкц-ое искажение док-ов; Гибель док-ов в условиях экстремальных ситуаций.

Разработка правил безопасности док-ния конф инфы в соотв. со спецификой используемых способов и ср-тв изготовления, копирования и размножения док-ов - это основная задача ЗИ в любом структурном подразделении орг-ии, учреждения, предприятия, фирмы. Требования: Централизация всех стадий по обработке и хранению конф док-ов; Учет всех без исключения конф док-ов; Учет каждого факта "жизненного цикла" док-та; Обязательный контроль вторым работником службы КД правильности выполнения учетных операций; Ознакомление, работа с док-том только на основании письменной санкции полномочного руководителя; Подпись - для персональная ответственность; Контроль выполнения персоналом введенных на предприятии правил работы с конф док-ми, делами и базами данных, Систематические проверки наличия док-ов; Коллегиальность процедуры уничтожения док-ов, дел и баз данных; Письменное санкционирование полномочным руководителем процедур копирования и размножения бумажных и электронных конф док-ов.

5. 1. Классификация демаскирующих признаков по хар-кам объектов и информативности. Мера информативности признака. Понятие об эталонной и текущей признаковых структурах.

Классификация демаскирующих признаков по хар-кам объектов и информативности.

Демаск-ие признаки - это признаки, позволяющие отличить один объект от другого. Значения демас-их признаков двух разных объектов должны отличаться друг от друга. Демаск-ие признаки описывают различные состояния, хар-ики и свойства объекта

Демаск-ие признаки объектов разделяются на опознавательные признаки и признаки деят-ти. Опознавательные признаки описывают объекты в статическом состоянии: его назначение, принадлежность, параметры. Признаки деят-ти объектов хар-ют этапы и режимы функ-ия объектов, например, этапы создания новой продукции: научные исследования, подготовка к производству, изготовление новой продукции, ее испытания. Демаск-ие признаки хар-ик объекта можно разделить на 3 группы: Видовые признаки - описывают внешний вид объекта (форма, размеры, детали, тон, цвет, структура его поверхности и др. ); Признаки сигналов - описывают параметры полей и эл. сигналов, генерируемых объектом (мощность, частота, вид (аналоговый, импульсный), ширина спектра и др. );

Признаки веществ - определяют физ. и хим. состав, структуру и свойства веществ мат-ого объекта. Мера информативности признака. Информативность - показатель признака, оценивается мерой в интервале [0-1], соотв. значению вероятности обнаружения объекта по конкретному признаку. Чем более индивидуален признак, т.е. принадлежит меньшему числу объектов, тем он более информативен. По информативности признаки бывают: Именные - присущие только одному конкретному объекту (это самый информативный признак (ФИО человека, папиллярный узор его пальцев, инвентарный номер прибора или образца мебели); Прямые - остальные демаск-ие признаки, принадлежащие рассматриваемому объекту (форма, размер, соотношение размеров объекта, детали, структура, тон изображаемого объекта); Косвенные - непосред-но не принадлежащие объекту, но отражающие свойства и состояние объекта (результат взаимодействия рассматриваемого объекта с окружающей средой: тень от объекта, следы ног или рук человека, автомобильных шин на дороге). Информативность косвенных признаков в общем случае ниже информативности прямых.

По времени проявления признаки могут быть: -- постоянными, не изменяющимися или медленно меняющимися в течение жизненного цикла объекта; -- периодическими, например следы на снегу; -- эпизодическими, проявляющимися при определенных условиях, например случайно появившееся на поверхности объекта пятно краски. Понятие об эталонной и текущей признаковых структурах. Признаковая структура - набор признаков, принадлежащих объекту. Ее можно представить в виде объединения всех демаскирующих признаков объектов. Эталонная признаковая структура - набор достоверных (по оценке разведывательного органа) признаков объекта или сигнала, полученных от первоисточников (из док-та или по данным, добытым из разных источников).

Во время разведывательных операций конкретный объект обнаруживают по его демаскирующим признакам на фоне др. объектов. В процессе обнаружения сравнивают (идентифицируют) текущую признаковую структуру, формируемую в процессе поиска, с эталонной. Чем больше признаков совпадает, тем выше вероятность обнаружения объекта. Эталоны по мере изменения признаков корректируются.

5. 2 Ср-ва скрытного наблюдения за объектами. Принципы работы приборов ночного видения. Принципы работы локаторов бокового обзора, способы повышения разрешающей способности.

Скрытое Наблюдение - комплекс мероприятий, скрытого наблюдению за лицом, с целью получения о нём и его образе жизни максимально полной инфы. Для скрытого наблюдения за объектами используются след-щие ср-ва: Подзорные трубы и спец. Телескопы, Технические эндоскопы. Ср-ва и способы наблюдения делятся на три основные группы:

1. Ср-ва наблюдения в оптическом диапазоне. В оптическом видимом диапазоне света инфа разведкой добывается путем визуального, визуально-оптического и телевизионного наблюдения, фото- и киносъемки, а в инфракрасном диапазоне -- с использованием приборов ночного видения и тепловизоров. Цель ПНВ - сделать возможным визуально-оптическое наблюдение в инфракрасном спектре. Основа ПНВ - электронно-оптический преобразователь (ЭОП), преобразующий невидимое для человеческого глаза изображение, находящееся в инфракрасном диапазоне, в видимый диапазон. Наблюдение при низкой освещенности и добывание демаскирующих признаков об объекте с мелкими деталями невозможно. ПНВ эффективно работают в условиях естественного ночного освещения, но не позволяют проводить наблюдения в полной темноте (при отсутствии внешнего источника света). Их чувствительности недостаточно для приема световых лучей в ИК-диапазоне, излучаемых телами.

2. Ср-ва наблюдения в инфракрасном диапазоне. Для визуально-оптического наблюдения в инфракрасном диапазоне необходимо переместить невидимое для глаз изображение в инфракрасном диапазоне в видимый диапазон. Эта задача решается в приборах ночного видения (ПНВ) и тепловизорах.

3. Ср-ва наблюдения в радиодиапазоне. Радиолокационное наблюдение осущ-ся в радиодиапазоне электромагнитных волн с помощью способов и ср-тв радиолокации. РЛС размещаются на самолетах и разведывательных космических аппаратах.

Способы повышения разрешающей способности. В РЛС применяется небольшая антенна, широкая диаграмма направленности которой неподвижна относительно самолета и направлена перпендикулярно линии полета. При полете самолета антенна РЛС последовательно занимает в пространстве положения на прямой траектории полета самолета, эквивалентные положениям эл-там гипотетической антенной решетки. В результате запоминания сигналов, последовательно принимаемых антенной в каждой точке траектории полета самолета, и их когерентного суммирования достигается существенное повышение разрешающей способности на местности. Размер решетки соответствует длине участка траектории, на кот. производится запоминание и когерентное суммирование сигналов. Используя этот метод, можно увеличить разрешающую способность РЛС по азимуту в 100 и более раз.

Также для повышения разрешающей способности применяют РЛС в дециметровом и метровом диапазонах волн. Главное преимущество волн с более низкими частотами - существенное увеличение их проникающей способности.

5. 3. Способы и ср-ва подслушивания с использованием ТС. Особенности остронаправленных микрофонов. Особенности лазерного и СВЧ подслушивания.

Подслушивание - способ ведения разведки и промышленного шпионажа, метод добывания инфы, носителем которой явл-ся акустическая, гидроакустическая и сейсмическая волны.

Различают непосред-ное подслушивание и подслушивание с помощью ТС: микрофонов, радиоэакладок, лазеров, высокочастотных колебаний

Пути подслушивания с помощью ТС: Перехват акустических сигналов, распространяющихся в воздухе, воде и твердых телах; Перехват опасных сигналов от вспомогательных ТС и систем; Применение лазерных систем подслушивания; Использование закладных уст-тв; Высокочастотное навязывание (наложение ВЧ сигнала на ср-ва с акустоэлектрическим преобразователем).

Особенности остронаправленных микрофонов. Микрофон выполняет функцию акустоэлектрического преобразования. Остронаправленные микрофоны позволяют существенно увеличить дальность подслушивания. ОМ имеют повышенный динамический и частотный диапазон и высокую чувствительность. Особенности лазерного и СВЧ подслушивания. Лазерное подслушивание явл-ся сравнительно новым методом подслушивания (первые рабочие образцы появились в 60-е годы) и предназначено для съема акустической инфы с плоских вибрирующих под действием акустических волн поверхностей. К таким поверхностям относятся, прежде всего, стекла закрытых окон. Подобные приемы требуют специфических условий и реализуются довольно сложной и дорогой спецтехникой.

5. 4. Виды побочных электромагнитных излучений и наводок. Отличия пассивных и активных акустоэл. преобразователей. Условие возникновения паразитной генерации в усилителях.

Угрозу хищения инфы путем ее утечки создают сигналы (называемые опасными), случайно возникающие в результате побочных электромагнитных излучений и наводок (ПЭМИН).

Источники опасных сигналов исходя из их физической природы: Акустоэл. преобразователи; Излучатели низкочастотных сигналов; Излучатели высокочастотных сигналов; Паразитные связи и наводки.

Демаск-ие признаки ПЭМИН - опознавательные признаки и признаки деят-ти: О хар-иках объекта (видовые, сигнальные, вещественные), Разные по информативности (именные, прямые, косвенные), Разными по времени проявления (постоянные, периодические, эпизодические). К акустоэлектрическим преобразователям (АЭП) относятся физ. уст-тва, эл-ты, детали и материалы, способные под действием переменного давления акустической волны создавать эквивалентные эл. сигналы.

Существует два вида АЭП: Активные (электродинамические, электромагнитные, пьезоэл.); Пассивные (магнитострикционные). Радиоэлектронная аппаратура обладает микрофонным эффектом, т.е. способностью преобразовывать акустические сигналы в эл., что приводит к появлению в этой аппаратуре опасных сигналов.

Разница между активными и пассивными: на выходе активных АЭП под действием акустической волны возникают эл. сигналы. У пассивных действия акустической волны вызывают лишь изменение параметров преобразователя.

Паразитные высокочастотные колебания в усилителях возникают при образовании между выходом и входом усилителя положительной обратной связи. При попадании через паразитные емкостные и индуктивные связи на вход усилителя сигналов с его выхода с фазой, равной фазе входного сигнала, лавинообразно нарастает амплитуда паразитного колебания на частоте, на которой выполняется равенство фаз. Если частота паразитной генерации расположена вне диапазона частот усилителя, то этот побочный режим работы усилителя может остаться незамеченным при создании и эксплуатации радиоэлектронного ср-ва. Если завысить усиление мегафона, то паразитные сигналы идут на определенных радиочастотах.

5. 5. Принципы инженерно-технической ЗИ и построения ее системы. Назначение и типы контролируемых зон.

Принципы ИТЗИ:

-- Надежность ЗИ; Непрерывность ЗИ; (система постоянно готова к отражению угроз); Скрытность ЗИ, исключающая ознакомление посторонних лиц со ср-вами ЗИ; Целеустремленность ЗИ (направленные усилия на защиту важной инфы); Рациональность защиты; Активность ЗИ (прогнозирование действий злоумышленника); Гибкость ЗИ (система подстраивается под новые требования); Многообразие способов защиты; Комплексное использование различных способов и СрЗИ; Экономичность ЗИ.

Эти принципы не содержат конкретных рекомендаций, однако определяют общие требования к способам и ср-вам ЗИ. Эта группа принципов включает основные подходы, обеспечивающие рациональную защиту.

Принципы построения системы ИТЗИ: Соот-ие уровня защиты ценности инфы (цена ЗИ меньше цены защищаемой инфы); Многозональность защиты (обеспечивает санкционированный доступ к охраняемой инфы, разделение на контролируемые зоны); Многорубежность защиты (на границе зоны, создаются несколько рубежей), Равнопрочность рубежа контролируемой зоны; Надежность ТС системы ЗИ; Ограниченный контролируемый доступ к эл-там системы ЗИ; Адаптируемость (приспособляемость) системы к новым угрозам; Согласованность системы ЗИ с другими системами орг-ии.

Назначение и типы контролируемых зон. Кол-во и пространственное расположение зон и рубежей выбирается т.о., чтобы обеспечить требуемый уровень ИБ как от внешних, так и внутренних факторов атаки на защищаемый объект. Чем более ценной явл-ся инфа, тем большим кол-вом рубежей и зон целесообразно окружить её источник.

Типовые зоны: Независимые (здания, помещения); Вложенные (сейф в комнате, комната в здании, здание на террит); Пересекающиеся (приемная руководителя орг-ии).

Каждая зона характеризуется уровнем безопасности находящейся в ней инфы. Инф. безопасность в зоне зависит от: Расстояния от источника инфы (сигнала) до злоумышленника; Количества и уровня защиты рубежей на пути движения злоумышленника; Эфф-ти способов и ср-тв упр-ия допуском людей и автотранспорта в зону; Мер по ЗИ внутри зоны. При построении системы ЗИ нужно учитывать также след-щие принципы: Минимизация дополнительных задач и требований к сотрудникам орг-ии, вызванных мерами по ЗИ; Надёжность в работе ТС системы, Ограниченный и контролируемый доступ к эл-там системы обеспечения ИБ; Непрерывность работы системы в любых условиях функ-ия объекта; Адаптируемость системы к изменениям окружающей среды.

5. 6. Классификация и сущность методов инженерно-технической ЗИ. Основные показатели эфф-ти инженерно-технической ЗИ.

Классификация и сущность методов инженерно-технической ЗИ.

Классификация направлений и методов ИТЗИ: 1. Физическая защита: 1. 1. Инженерная защита, 1. 2. Техническая охрана объектов,

2. Скрытие инфы: 2. 1. Пространственное скрытие, 2. 2. Структурное скрытие - Маскировка - Дезинформирование, 2. 3. Временное скрытие,. 4. Энергетическое скрытие- Уменьшение энергии носителя, - Зашумление

3. Нейтрализация источников опасных сигналов

1. Физическая защита - направление по затруднению движения источников угроз воздействия к источникам инфы. Обеспечивается методами инженерной защиты и технической охраны.

1.1 Инженерная защита - направление по созданию естественных и искусственных преград на маршрутах возможного распространения источников угроз воздействия (заборы, ворота, двери, стены, сейфы, хранилища).

1.2. Техническая охрана объектов - методы обнаружения вторжений в контролируемые зоны и их нейтрализации.

2. Скрытие инфы - необходимая мера защиты для электромагнитных и акустических полей, электрического тока. Объединяет группу методов ЗИ, основу кот. составляют условия и действия, затрудняющие поиск и обнаружение объектов защиты, распознавание и измерение их признаков, снятие с носителей инфы с качеством, достаточным для ее использования.

2.1. Пространственное скрытие - затруднение поиска и обнаружения злоумышленником источника инфы в пространстве. Достигается путем размещения источника инфы в местах, местоположение кот. априори злоумышленнику не известно.

2.2. Структурное скрытие - изменение или создание ложного информационного портрета семантического сообщения, физ. объекта или сигнала.

Информационным портретом называется совокупность эл-тов и связей между ними, отображающих смысл сообщения (речевого или данных), признаки объекта или сигнала.

Возможны след-щие способы изменения информационного портрета: Удаление части эл-тов и связей, образующих инф. узел (наиболее информативную часть) портрета; Изменение части эл-тов информационного портрета при сохранении неизменности связей между оставшимися эл-тами; Удаление или изменение связей между эл-тами информационного портрета при сохранении их количества.

Маскировка - структурное скрытие, в результате кот. инф. портрет изменяется под инф. портрет фона. Методы маскировки отличаются для разных видов сообщения. Маскировка семантической инфы, представляемой в виде набора опред. образом связанных символов, обеспечивается криптографическими методами и называется шифрованием. Фоном для маскируемого сообщения явл-ся случайный набор символов.

Дезинформирование - трансформация исходного информационного портрета в новый, соотв. ложной семантической инфы или ложной признаковой структуре, и "навязывании" нового портрета органу разведки (злоумышленнику).

2.3. Временное скрытие - отсутствие у злоумышленника данных о времени передачи сообщения с интересующей инфой или времени проявления демаскирующих признаков объекта защиты вынуждает злоумышленника тратить большие ресурсы на обеспечение непрерывности разведки. 2.4. Энергетическое скрытие - уменьшение отношения энергии (мощности) сигналов, т.е. носителей (электромагнитного или акустического полей и электрического тока) с инфой, и помех. Уменьшение отношения сигнал/помеха возможно двумя методами: снижением мощности сигнала или увеличением мощности помехи на входе приемника.

Основные показатели эфф-ти ЗИ: Полнота полученной инфы - определяется отношением числа положительных ответов на тематические вопросы к их общему количеству, Своевременность - влияет на цену инфы, тк если добытая инфа устарела, то она не может быть эффективно использована, Достоверность инфы - отсутствие ложных сведений, разборчивость речи - зависит от надежности источника и от степени доверия получателя к источнику, Точность измерения демаскирующих признаков, Суммарные затраты на получение инфы.

5.7. Назначение и виды физической защиты источников инфы. Принципы работы системы контроля упр-ия доступом. Достоинства и недостатки атрибутных и биометрических идентификаторов.

Назначение и виды физической защиты источников инфы.

Виды физической защиты: Инженерная защита, Техническая охрана объектов

Основные ср-ва инженерной защиты объектов. Естественные преграды (например, овраги) и искусственные на возможном пути движения злоумышленника к источникам инфы; Двери, окна зданий и помещений, Контрольно-пропускные пункты, Шкафы и рабочие столы с закрываемыми на ключ ящиками, Хранилища, металлические шкафы и сейфы.

Принципы работы системы контроля упр-ия доступом. Для пропуска людей и автомобилей на территорию орг-ии создают автоматизированные или автоматические КП). КПП состоит: Зал с системой контроля упр-ия доступом; Бюро пропусков; Камера хранения вещей персонала и посетителей, не разрешенных для проноса в организацию; Помещения для начальника охраны, дежурного контролера, Размещения охранной сигнализации, связи и др.

Ср-ва упр-ия доступом транспорта. КПП содержат механизмы (турникеты, раздвижные или поворачивающиеся двери, шлюзы, ворота, шлагбаумы для авто и железнодорожного транспорта и др. ) и уст-тва идентификации людей.

Достоинства и недостатки атрибутных и биометрических идентификаторов. Способы идентификации людей: Атрибутные - выдаются людям, допущенным в контролируемую зону или к носителям инфы. В качестве атрибутных идентификаторов применяются пропуски, жетоны и др. док-ты на право допуска - идентификационные карточки (магнитные, инфракрасные, штриховые, "Виганд" "проксимити"). Наименее защищенными от фальсификации считаются магнитные карточки, более защищенными - инфракрасные и карточки Виганда (впрессовываются отрезки тонкой проволоки со случайной ориентацией), наиболее высокий уровень защиты имеют "проксимити" карты. Достоинством последних явл-ся бесконтактный способ считывания их атрибутов, что обеспечивает высокую пропускную способность КПП с высокой надежностью идентификации. Основной недостаток атрибутных идентификаторов - возможность попадания их к постороннему лицу, кот. может им воспользоваться для противоправных действий.

Биометрические - система распознавания людей по одной или более физических или поведенческих черт. Биометрические идентификаторы используют информативные опознавательные признаки конкретного человека. Биометрические данные можно разделить на два основных класса: Физиологические - относятся к форме тела (отпечатки пальцев, распознавание лица, ДНК, ладонь руки, сетчатка глаза, запах/аромат). Поведенческие - связаны с поведением человека (походка и голос).

Приборы биометрической идентификации обеспечивают очень низкую вероятность ложной идентификации. Они используют след-щие признаки человека: Рисунок папиллярных линий пальцев; Узоры сетчатки глаз; Геометрия руки; Динамика подписи; Особенности речи; Ритм работы на клавиатуре. Биометрические идентификаторы обеспечивают очень низкую вероятность ложной идентификации. Основной недостаток биометрических идентификаторов - имеют худшие по сравнению с карточками показатели правильной идентификации (распознавания "своих"), низкую надежность работы, высокую стоимость. Однако уже в ближайшем будущем следует ожидать значительного улучшения их эксплуатационных хар-ик и широкого применения биометрических идентификаторов в различных системах упр-ия доступом.

5. 8. Способы и ср-ва ЗИ от подслушивания. Условия эффективной защиты путем акустического зашумления помещения.

Способы и ср-ва ЗИ от подслушивания. Направлены на предотвращение утечки инфы в акустическом (гидроакустическом, сейсмическом) канале. Для повышения дальности подслушивания применяют составные каналы утечки инфы, содержащие наряду с акустическими также радиоэлектронные (с использованием закладных уст-тв) и оптические (с лазерными микрофонами) ср-ва. Применяются след-щие способы защиты:

1. Информационное скрытие: 1.1. техническое закрытие и шифрование семантической речевой инфы в функ-ых каналах связи; 1.2. дезинформирование; 2. Энергетическое скрытие: 2.1. звукоизоляция акустического сигнала; 2.2. звукопоглощение акустической волны; 2.3. глушение акустических сигналов; 2.4. зашумление; 3. Обнаружение, локализация и изъятие закладных уст-тв. Для защиты речевой инфы применяется комплекс активных и пассивных ср-тв: Энергетическое скрытие: звукоизоляция акустического сигнала; звукопоглощение акустической волны; глушение акустических сигналов; зашумление помещения или твердой среды распространения другими широкополосными звуками, для маскировки акустических сигналов;

Пассивные методы: установление дверей с повышенной звукоизоляцией, двойных двери с тамбуром, окон с остеклением в раздельных переплетах, с тройным комбинированным остеклением, экранирования вентиляционных отверстий и батарей, использование штор и жалюзей, а также двойных оконных рам. Активные методы: использование генераторов акустических помех, низкочастотных акустических шумовых сигналов (речеподобные помехи). Акустические генераторы шума используются для зашумления акустического диапазона в помещениях и в линиях связи, а также для оценки акустических свойств помещений.

Для предотвращения подслушивания с помощью закладных уст-тв перед обсуждением комплексных работ необходимо проведение углубленной "чистки" помещения.

Защита от радиозакладок возможна путем непосред-ного изъятия закладки или создания активных радиоэлектронных помех в диапазоне частот закладки.

Радиоэлектронные ср-ва: Генератор белого шума: шумящих электронных эл-тов (ламп, транзисторов, различных диодов) с усилением напряжения шума. Цифровой генератор шума: Цифровая последовательность двоичных символов в цифровых генераторах шума - псевдослучайная последовательность Вибрационное зашумление. Шум в звуковом диапазоне в твердых телах создают пьезокерамические вибраторы акустического генератора, прикрепляемые (приклеиваемые) к поверхности зашумляемого ограждения (окна, стены, потолка и др.) или твердотельного звукопровода (батареи отопления, трубы и др. ).

Технические ср-ва для обнаружения неизлучающих закладных уст-тв: Обнаружители пустот; Аппаратура контроля проводных линий: Уст-тва контроля телефонных линий; Уст-тва контроля линий электропитания; Аппаратура обнаружения эл-тов электронных уст-тв: Нелинейные радиолокаторы (НРЛ); Металлодетекторы; Рентгеновские установки. Эффективная защита при использовании акустического генератора достигается путем близкого расположения к источнику инфы. Вибрационное зашумление целесообразно применять во всех случаях, когда существует возможность утечки с помощью структурного звука. Шум в звуковом диапазоне в твердых телах создают пьезоэл. вибраторы, прикрепленные к поверхности зашумленного ограждения. Во избежание утечки акустической инфы с помощью лазерного уст-тва съема инфы со стекла, с помощью закладных уст-тв, а также с использованием направленных микрофонов, рекомендуется покрыть окна металлизированной пленкой.

5. 9. Способы и ср-ва, используемые для ЗИ от наблюдения в оптическом и радиодиапазонах.

Оптический диапазон: необходимо уменьшать контраст объект/фон, снижать яркость объекта и не допускать наблюдателя близко к объекту.

Маскировка - метод информационного скрытия признаков объекта наблюдения путем разрушения его информационного портрета.

Способы маскировки: Использование маскирующих свойств местности (неровности ландшафта); Маскировочная обработка местности (дернование, посев травы, кустов); Маскировочное окрашивание; Применение искусственных масок; Нанесение на объект воздушных пен.

Маскировочное окрашивание осущ-ся путем нанесения на поверхность объекта красок, подобранных по цвету и яркости, близкими к фону.

Различают 3 вида маскировочного окрашивания: Защитное; Деформирующее; Имитационное.

Защитное окрашивание поверхности объекта проводится одноцветной краской под цвет и среднюю яркость фона окружающей местности и предметов маскируемого объекта.

Деформирующее окрашивание предусматривает нанесение на поверхность объекта пятен неправильной геометрической формы 2-3-цветов, имитирующих световые пятна окружающей среды.

При имитационном окрашивании цвет и характер пятен на поверхности объекта подбирается под расцветку окружающей местности, объектов или предметов в месте расположения защищаемого объекта.

Типы искусственных оптических масок: Маски-навесы; Вертикальные маски; Маски перекрытия; Наклонные маски; Радиопрозрачные маски; Деформирующие маски.

Радиодиапазон. Информационное скрытие обеспечивается в результате разрушения структуры "блестящих точек" на экране локатора путем покрытия объекта радиотражающими оболочками и экранами с иной конфигурацией, размещения в месте расположения объекта дополнительных отражателей и генерирования радиопомех. Для энергетического скрытия объектов от радиолокационного наблюдения его поверхность покрывают также материалами, обеспечивающими градиентное и интерференционное поглощение облучающей электромагнитной энергии. Другой способ энергетического скрытия - генерация помех. Простейшей помехой явл-ся гармоническое колебание на частоте РЛС.

Защита инфы об объектах, находящихся в воде, предусматривает, прежде всего, защиту от гидроакустического наблюдения.

Основные способы защиты: Маскировка с использованием природных явлений. При перепаде температуры слоев возникают акустические экраны, трудно преодолимые для акустических излучений: Использование звукопоглощающих покрытий сотовой конструкции из нейлона, полиэтилена, полипропилена и различных пластмасс, а также содержащих натуральный каучук. Создание активных помех гидролокаторам

5. 10. Способы скрытия сигналов в стандартных телефонных каналах. Достоинства и недостатки скремблеров. Принципы работы и особенности вокодеров.

Способы скрытия сигналов в стандартных телефонных каналах. Речевая инфа, передаваемая по каналам связи, содержится в инф-ых параметрах эл. и радиосигналов. Сигналы распространяются по линиям связи в аналоговом и цифровом виде.

Для скрытия сигналов в каналах связи применяются след-щие способы: Структурное скрытие: Шифрование; Техническое закрытие.

-- Защита от подслушивания: Информационное скрытие (техническое закрытие инфы, шифрование и дезинфа); Энергетическое скрытие (звукоизоляции акустических сигналов, звукопоглощения акустической волны, глушения акустических сигналов, зашумления помещений или твердой среды распространения). В речевых системах связи используется аналоговое скремблирование (перемешивание) и дискретизация речи с послед. шифрованием (цифровое скремблирование).

Аналоговое скремблирование - изменяются хар-ики информационного сообщения, т.о, преобразованное сообщение становится нераспознаваемым на слух, но занимает ту же частотную полосу, что и исходное значение.

К достоинствам наиболее широко используемых скремблеров относится простота технической реализации и, как следствие, низкая стоимость и малые габариты, а также возможность их эксплуатации практически на любых каналах связи, предназначенных для передачи речевых сообщений. Основной недостаток простых скремблеров - относительно низкая стойкость закрытия инфы. Кроме того, скремблеры, за исключением простейшего (с частотной инверсией), вносят искажения в восстановленный речевой сигнал. Границы частотных полос и временных сегментов нарушают целостность исходного сигнала, что приводит к появлению внеполосных сост. Нежелательное влияние оказывают и групповые задержки сост. речевого сигнала.

Инверсия спектра - эффект преобразования низких частот в более высокие, и наоборот.

Частотные перестановки - спектр исходного речевого сигнала разделяется на несколько частотных полос. Производится перемешивание по опред. алгоритму. Восстановление происходит в результате обратных процедур.

Инверсия кадра - предварительное запоминание в памяти передающего скремблера отрезка речевого сообщения определенной длительности и считывание его с конца кадра.

Временные перестановки - кадры речевого сообщения делятся на отрезки определенной длительности. Последовательность передачи в линию определяется ключом, кот. известен на приемной стороне (задержка 1-2 сек).

Принципы работы и особенности вокодеров.

Для передачи речи в цифровой форме по стандартному телефонному каналу необходимо резко сократить полосу речевого сигнала. Эта проблема решается в уст-тве, называемом вокодером.

Вокодер выделяет существенные параметры речевого сообщения и преобразует их в цифровую форму. В приемном вокодере речевой сигнал восстанавливается по медленно меняющимся признакам речевого сигнала. В передающем уст-тве вокодера из речевого сигнала выделяются медленно меняющиеся информационные параметры: частота основного тона акустического сигнала, возникающего при прохождении воздушного потока через голосовые связки человека; моменты произношения звонких и глухих звуков; параметры речевого сигнала, зависящие от типа вокодера.

Основным достоинством систем цифрового шифрования речевого сигнала явл-ся высокая надежность закрытия инфы, тк перехваченный сигнал представляет из себя случайную цифровую последовательность. Для восстановления из нее исходного сообщения необходимо знать криптосхему шифратора и уст-тво вокодера.

Недостатком вокодеров явл-ся невысокое качество речи, поэтому они применяются главным образом в военной связи, где главное - не натуральность речи, а ее высокая степень сжатия и хорошая разборчивость.

5. 11. Виды закладных уст-тв и способы их поиска. Состав и возможности автоматизированного комплекса радиомониторинга. Типы и принципы работы нелинейных локаторов.

Радиоэлектронные закладные уст-тва представляют собой уст-тва, создающие организованный канал несанкц. получения и передачи в пункт приема аудио-, аудиовизуальной или обрабатываемой радиоэлектронной аппаратурой и передаваемой в сетях связи информации. Закладные уст-тва (ЗУ): По виду носителя - Проводные; Излучающие; По виду первичного сигнала - Акустические; Аппаратные; По способу установки - С заходом злоумышленника в помещение; Без захода; По режиму работы - Неуправляемые; С акустоавтоматом; Дистанционно управляемые; По диапазону частот - Низкочастотные; Высокочастотные; Сверхвысокочастотные; ИК; По стабильности частоты сигнала - Нестабилизированные; С "мягкой" стабилизацией; С "жесткой" стабилизацией; По питанию - С автономным питанием; От сети; От аппарата; От внешнего источника радиоизлучений; По способы закрытия инфы - Незакрытые; закрытые. Способы поиска закладных уст-тв: По видовым признакам - визуальный осмотр; По сигнальным признакам - поиск радиосигналов закладных уст-тв; поиск эл. сигналов закладных уст-тв; По вещественным признакам - поиск полупроводниковых, металлических эл-тов; пустот в стенах; неоднородностей в однородной среде; просвечивание предметов.

Индикаторы электромагнитных полей. Обнаружитель поля световым или звуковым сигналом информируют оператора о наличии в месте расположения антенны индикатора электромагнитного поля с напряженностью выше фоновой. Частотомеры - обеспечивают, кроме того, измерение частоты колебаний поля. Существенно большую чувствительность имеют супергетеродинные бытовые приемники. Возможности использования бытовых радиоприемников для поиска радиозакладок ограничены радиовещательным диапазоном и видами модуляции, применяемыми в радиовещании (AM и ЧМ). Радиоприемники с автоматизированным сканированием радиодиапазона обеспечивают поиск в диапазоне частот, перекрывающем частоты почти всех применяемых радиозакладок. Сканирующие радиоприемники имеют оперативную память для запоминания частот, не представляющих интерес источников излучения(радиовещательных и служебных радиостанций).

Дистанционно управляемые радиозакладки и закладки, передающие инфу по проводам, не обнаруживаются аппаратурой радиоконтроля. Для их поиска используются демаск-ие признаки материала конструкции и эл-тов схемы закладного уст-тва, а также признаки сигналов, распространяющихся по проводам. Для поиска используются спецср-ва. Обнаружители пустот позволяют обнаруживать возможные места установки закладных уст-тв в пустотах стен или др. деревянных или кирпичных конструкциях.

Ср-ва обнаружения закладных уст-тв по физическим свойствам эл-тов (напр, нелинейные радиолокаторы): Можно искать с помощью металлоискателей, рентгеновской аппаратуры, НРЛ или подповерхностного локатора.

Состав и возможности автоматизированного комплекса радиомониторинга: Сканирующий радиоприемник с широкополосными антеннами; Коммутатор антенн для комплексов, контролирующих несколько помещений; Компьютер типа Notebook или микропроцессор; Спец.математическое обеспечение комплекса; Контролер ввода инфы с выхода радиоприемника в компьютер и формирования тестового сигнала; Преобразователь спектра; Акустический коррелятор; Блок питания. Комплекс определяет и запоминает уровни и частоты радиосигналов в контролируемом помещении, выявляет в результате корреляционной обработки спектрограмм вновь появившиеся излучения. С использованием тестового акустического сигнала распознает скрытно установленные в помещении радиомикрофоны и определяет их координаты. Возможности комплексов расширяют также включением в их состав блока контроля проводных линий, позволяющего обнаруживать подслушивающие уст-тва, подключенные к проводам кабелей.

Типы и принципы работы нелинейных локаторов. В зависимости от режима излучения бывают НРЛ с непрерывным и импульсным излучением. Принцип НРЛ: передатчик-локатор облучает контролируемую зону, если в обследуемом пространстве находятся объекты, содержащие p-n-переходы (транзисторы, диоды), то посланный сигнал будет ими принят, преобразован в сигнал с другим частотным спектром и переизлучен в определенное пространство. Преобразованный сигнал принимается приемником локатора.

5. 12. Требования к экранам электромагнитных полей на низких и высоких частотах. Способы снижения излучений симметричных и несимметричных кабелей. Эфф-ть экранирования.

Требования к экранам электромагнитных полей на низких и высоких частотах.

Способы: Экранирование электрического поля, Экранирование магнитного поля, Электромагнитное экранирование. Экранирование электрического поля металлическим заземленным экраном достигается за счет нейтрализации зарядов в экране, вызванных этим полем.

Для низких частот: Максимальная магнитная проницаемость (во сколько раз сопротивление линиям в вакууме меньше чем в используемом металле), Большая толщина экрана (для достижения одного и того же экранирующего эффекта).

Для высоких частот: Сопротивление в проводнике дб минимальным, для этого покрыть экран слоем серебра или золота.

Учитывая, что эл.магн-ое поле состоит из эл-го и магн-го компонентов, то эл.магн-ое экранирование объединяет способы высокочастотного эл-го и магн-го экранирования.

Требования к цепям заземления. В качестве заземлителей чаще всего применяются стальные трубы длиною 2-3 м диаметром 35-50 мм и стальные полосы сечением 50-100 мм. Более удобными явл-ся трубы, позволяющие достигнуть достаточно глубоких влажных слоев земли, обладающих достаточно высокой проводимостью и не подвергающихся высыханию или промерзанию.

Способы снижения излучений симметричных и несимметричных кабелей. Симметричный - кабель, у кот. оба провода имеют одинаковые эл. хар-ики, но разное направление тока. Каждый ток создает свое поле, и за счет этого они друг друга компенсируют. (напр,витая пара) Несмотря на то, что излучение симметричного кабеля незначительно, это не делает допустимым передачу по нему конф инфы. Для этого сначала необходимо заземлить цепь. Несимметричный - кабель, где экран явл-ся общим сигнальным проводом. Т.е. это такой кабель, где один провод - внутренний, а второй - это металлическая сетка. Особенностью проводов несимметричного кабеля явл-ся то, что они имеют разное сопротивление, расстояние между ними может быть больше, а также они имеют разные токи. Несимметричные кабели необходимо экранировать. Этого можно достичь след.и способоами: Применив железный экран, Поместив кабель в газовую или водопроводную трубу.

5. 13. Ср-ва, применяемые для видеонаблюдения в системах физ. защиты. Принципы работы детектора движения. Способы увеличения видеозаписи изображений от телевизионных камер наблюдения.

1) Телевизионные камеры. В современных тел-ых охранных системах используют камеры на приборах с зарядовой связью (ПЗС-матрицы, ПЗС-камеры), хотя в эксплуатации еще есть камеры на электронно-лучевых трубках.

2) уст-тва обработки и коммутации видеосигналов: Видеомониторы, Видеокоммутаторы последовательного действия (свитчеры) - уст-тва, обеспечивающие последовательное переключение видеосигналов от нескольких камер на 1 или несколько мониторов.

Видеоквадраторы - цифровые уст-тва, обеспечивающие размещение изображений от 4-х источников на одном экране. Видеомультиплексоры - высокотехнологические системы видеозаписи и упр-ия, предназначенные для записи видеосигналов от нескольких (до 16 камер) на одну видеокассету (с помощью кодирования (каждый кадр окрасить номерами)), воспроизведения кодированной кассеты и обработки сигналов тревоги. Видеоменеджеры (Компьютерные устр-ва упр-ия):

Может выполнять ф-ции цифрового видеодетектора движения с программированием данных нарушителя (направление движения, скорость, размеры и т. п.); управлять режимами "записи", "воспроизведения" и "вывода изображения на экран"; программировать алгоритмы наблюдения, охраны, видео регистрации в ежедневном и еженедельном циклах; производить обработку видеоинфы цифровыми методами; автоматически фиксировать повреждения камер, коммуникаций и другого периферийного оборудования; вести диалог с оператором речевым способом; автоматически дозваниваться и передавать инф-цию на удаленный пост в случае тревоги через модем.

3) уст-тва регистрации: Специализированные видеомагнитофоны Видеомагнитофоны могут работать в двух режимах: - непрерывный (время записи 180 минут); - прерывистый (время записи 24, 480 и 960 ч), записываются только опред. кадры.

4) уст-тва передачи телевизионного сигнала: Для передачи сигнала используются как проводные каналы связи (коаксиальный кабель, телефонная линия, оптоволокно), так и беспроводные каналы (радио и ИК каналы).

При необходимости передачи сигнала на большие расстояния применяют видеоусилители и модемы (передатчики - модуляторы, приемники - демодуляторы). Видеоусилители применяют для компенсации затухания сигнала в линиях при передаче на большие расстояния. Видеораспределители используют при трансляции видеосигнала нескольким потребителям.

5) система электропитания телевизионных уст-тв; 6) детекторы активности движения (видеоохрана).

Принципы работы детектора движения. Охранник может без наблюдения за экраном получать сигнал тревоги, если изменилась ситуация на наблюдаемом объекте (режим видеоохраны). Видеодетектор движения представляет собой автономный или встроенный в мультиплексор электронный блок, кот. запоминает текущий кадр изображения, сравнивает его с послед. и выдает сигнал тревоги при несовпадении сравниваемых изображений. Аналоговые детекторы движения следят за уровнем яркости и уровнем сигналов одинаковых эл-тов изображения, и выявляют их изменения. Цифровые видеодетекторы - многоканальные уст-тва, позволяющие разбивать охраняемую зону на отдельные блоки, для каждого из кот. вырабатывается свой порог срабатывания. Чем выше этот порог, тем большие изменения должны произойти. Программным путем можно задавать хар-ки движения (начало движение, направление, скорость и т.п.) Способы увеличения видеозаписи изображений от телевизионных камер наблюдения: Уменьшение линейной скорости перемещения магнитной ленты, Запись событий только при срабатывании детектора движения или релейного выхода Уменьшение разрешения и/или скорости записи изображения (кадр/сек), Использование комп. алгоритмов сжатия (кодеки) видеосигнала.

5. 14. Виды охранных и пожарных извещателей. Способы повышения помехоустойчивости акустических, оптико-электронных и радиоволновых извещателей.

По назначению: -Для блокирования отдельных объектов; для закрытых помещений, для открытых пространств, для блокирования периметров, для обнаружения пожара;

По виду зоны обнаружения: -точечные (охрана отдельных объектов), -линейные (охрана периметров), -поверхностные (охрана стен, потолков, окон), -объемные (охрана объемов помещений)

По принципу обнаружения: 1) Контактные извещатели реагируют на механич действия, приводящие к замыканию или размыканию контактов извещателя, обрыву тонкой проволоки. Бывают электроконтактные и. магнитоконтактные. ударно-контактные, обрывные 2) Акустические извещатели используют акустические волны, кот. возникают при разрушении механич преград (пассивные) или отражаются от нарушителя (активные). 3) В оптико-электронных извещателях для обнаружения злоумышленника и пожара используются инфракрасные лучи.

4) Микроволновые (радиоволновые) извещатели используют для обнаружения злоумышленников эл-м волны в СВЧ диапазоне. 5) К вибрационным относятся извещатели, обнаруживающие злоумышленника по создаваемой им вибрации в грунте при движении, при открывании дверей, окон, люков и др. конструкций. 6) Емкостные извещатели создают сигналы тревоги при приближении злоумышленника к объекту охраны. 7) Тепловые извещатели применяют в помещениях, в кот. при возгорании быстро повышается температура воздуха.

Способы повышения помехоустойчивости акустических, оптико-электронных и радиоволновых извещателей.

Акустические извещатели: Увеличивается кол-во используемых для идентификации демаскирующих признаков и усложняются алгоритмы их обработки. Высота установки -- 1,5.. 2,5 м от пола. Не допускается установка над батареями, около форточек, штор, декоративных растений и др. колеблющихся предметов. На период охраны дб закрыты все окна, отключена принудительная вентиляция, калориферы и любые источники акустических сигналов. Снижение влияния помех в ультразвуковых датчиках достигается регулировкой чувствительности приемника. Оптико-электронные извещатели: исключить попадание в зону действия луча качающихся штор и веток деревьев, прямого солнечного света и света фар. Исключить движение злоумышленника к объекту защиты в створе луча. Извещатель не следует располагать на расстоянии менее 1,5 м от вентиляционного отверстия и батареи центрального отопления.

Радиоволновые извещатели: Для снижения мощности излучения предусматривается импульсный режим работы. Для уменьшения ложных тревог в схеме объемных извещателей реализуется принцип селекции на основе эффекта Допплера.

5. 15. Способы и ср-ва нейтрализации угроз. Принципы нейтрализации угроз в автономных и централизованных системах охраны. Состав автоматизированного комплекса газового пожаротушения.

Нейтрализация действий злоумышленников в автономных системах охраны осущ-ся сотрудниками СБ и ср-вами СЗИ, например: Тревожная сигнализация - для психологического воздействия на нарушителя, чтобы заставить его отказаться от намерений. В кач-ве ср-в сигнализации используют звуковые и световые оповещатели. Ср-ва пожаротушения: пенообразующие огнетушители, багры и топоры, бочки с песком, пожарные рукава и др. Резервное или аварийное электропитание включается автоматически или оператором при отключении электропитания. Принципы нейтрализации угроз в автономных и централизованных системах охраны: 1. Система автономной охраны состоит из комплекса охранной/охранно-пожарной сигнализации с выходом на оповещатели и др. приемно-контрольный прибор, установленный в пункте автономной охраны. 2. Централизованная сис-ма охраны. Получение инф-ции происходит на диспетчерском пункте рассредоточенных объектов с использованием сис-мы передачи извещений, кот. явл-ся совокупностью совместно действующих технических ср-в.

Состав автоматизированного комплекса газового пожаротушения: модуль газового пожаротушения с баллонами газа, запорно-пусковым уст-твом, манометром и пиропатроном, размещаемыми в спец-ом помещении (станции газового пожаротушения); пожарные (пожарно-охранные) извещатели и шлейфы; приемно-контрольный прибор, к входным клеммам кот. подключаются шлейфы от извещателей, а с выходных клемм снимаются сигналы упр-ия подрывом пиропатрона, отключения вентиляции, включения табло оповещения сотрудников о подаче газа; газопроводы от газовой станции к помещениям и газовые распылители в помещениях; кнопки ручного пуска и его блокировки.

5. 16. Факторы, вызывающие утечку инфы по цепям электропитания и заземления. Меры по предотвращению этой утечки. Паразитные наводки в проводах, цепях электропитания и заземления.

Это передача напряжения из одного эл-та радиоуст-тва в другой. Паразитные связи и наводки характерны для любых радиоэлектронных ср-тв и соединяющих их кабелей. три вида паразитных связей: Гальваническая (через общее активное сопротивление); Индуктивная (возд. магнитного поля), Емкостная (образ. в рез-те возд. эл. поля).

Функциональный или опасный сигнал может при определенных условиях проникать через цепи питания прибора в сеть электропитания помещения и здания, далее через силовой щит в силовой кабель, по кот. подается эл-энергия с подстанции. Цепи заземления предназначены для обеспечения защиты эл. сигналов с инфой от помех и наводок путем экранирования проводов или уст-тв.

Паразитные индуктивные связи. Причиной таких связей явл-ся индуктивные связи между входом усилителя и различными источниками переменного поля, создающими магнитные поля. Такие связи возникают при наличии в схеме усилителя входного трансформатора. Для уменьшения паразитной индуктивной связи входной трансформатор усилителя помещают в экран, выполненный из металла или сплава, обладающего малым удельным сопротивлением (медь или латунь). Уменьшение индуктивных связей может быть также достигнуто путем рационального монтажа схемы.

Паразитная емкостная связь. Причиной паразитной емкостной связи явл-ся емкости между эл-тами схемы и монтажа цепей каскадов, входа и выхода усилителя, емкость между входом усилителя и посторонними источниками переменного тока. С целью уменьшения паразитной емкостной связи необходимо правильно размещать эл-ты схемы и монтажные провода. В некот. случаях целесообразно применить электростатические экраны. Экраны выполняют в виде проволочной оплетки, алюминиевой фольги и т. п. и присоединяют к корпусу усилителя. В такой экран помещают в первую очередь провода и эл-ты схем, кот. связаны со входом усилителя.

Меры по предотвращению утечки инфы по цепям заземления направлены на снижение величины паразитной гальванической связи между заземляемыми радиоэлектронными ср-вами и уменьшением площади магнитных рамок, образуемых цепями заземления. При выборе схемы заземления следует учитывать, что наиболее часто используемое последовательное заземление имеет наибольший коэффициент гальванической паразитной связи. Низкочастотные ср-ва, размещенные на небольшом расстоянии друг от друга, рекомендуется заземлять в одной точке, в остальных случаях целесообразно применять многоточечное заземление.

5. 17. Основные этапы и показатели проектирования системы ИТЗИ. Принципы оценки показателей.

два этапа: Построение или модернизация системы защиты; Поддержание ЗИ на требуемом уровне.

Основные работы: Уточнение перечня защищаемых сведений в орг-ии, определение источников и носителей инф, выявление и оценка угрозы ее безопасности; определение мер по ЗИ, вызванных изменениями целей и задач защиты, перечня защищаемых сведений, угроз безопасности инфы; контроль эфф-ти мер по ИТЗИ в орг-ии.

Проектирование требуемой системы защиты проводится путем системного анализа сущ-ей защ. и разработки вариантов требуемой. Построение новой системы или ее модернизация предполагает: Определение источников защищаемой инфы и моделирование (описание) их защищенности; Определение слабых мест сущ-ей СиЗИ, выявление и моделирование угроз безопасности инфы; Выбор рац мер предотвращения угроз; сравнение вариантов по глобальному критерию и частным показателям, выбор лучших вариантов; Обоснование выбранных вариантов системы в докладной записке или в проекте для руководства орг-ии; Доработка вариантов или проекта с учетом замечаний руководства.

3 основных этапа работ:

Моделирование объектов защиты: разработка моделей объектов защиты. К объектам защиты относятся источники защищаемой И и контролируемые зоны, в кот. находятся эти источники.

Моделирование угроз. На основе полученных результатов выявл-ся угрозы ЗИ, производится оценка ожидаемого от их реализации потенциального ущерба и ранжирование угроз по потенциальному ущербу. При моделировании угроз определяются риск (вероятность) угрозы. Последовательность выбора мер защиты определяется последовательностью ранжированных угроз. Из вариантов, обеспечивающих приблизительно равную безопасность, выбирается самый дешевый. В качестве эфф-ти варианта наиболее часто используется отношение величины уменьшения к затратам на реализацию. После рассмотрения руководством предлагаемых вариантов, учета предложений и замечаний, наилучший вариант (проект, предложения) финансируется и реализуется путем проведения необходимых закупок материалов и оборудования, проведения строительно-монтажных работ, наладки ср-тв защиты и сдачи в эксплуатацию системы защиты или ее доп. эл-тов.

5. 18. Мероприятия по выявлению каналов утечки инфы. Спец. проверки. Цель и способы проведения.

Задача поискового мероприятия: Определение состояния ИБ объекта; Поиск каналов утечки инфы; Поиск установленных приборов и систем перехвата и передачи И; Выдача рекомендаций по оптимальным способам блокирования каналов утечки.

Поисковые мероприятия проводятся периодически по разработанным руководством СБ календарным планам или носят внеплановый (профилактический или превентивный) характер. Профилактические поисковые мероприятия обычно проводятся непосред-но перед проведением важных переговоров, после посещения офисов или др. помещений компании потенциальными злоумышленниками или в случаях, когда есть подозрение, что прослушивающие уст-тва уже установлены. В случаях, когда становится очевидным, что на объекте имеется утечка И, проводится конспиративная "чистка". Спец. проверка - это комплекс инженерно-технических мероприятий, проводимых с использованием контрольно-измерительной аппаратуры, направленных на исключение перехвата технической разведкой инфы, содержащей свед-я ГТ с помощью внедренных закладок. Типовое поисковое мероприятие состоит из трех этапов:

1) Подготовительный этап: Прогноз вероятного противника и анализ его оперативно-технических возможностей; Изучение расположения помещения и его окружения, в кот. могут находиться источники угроз; Определение находящихся в помещении мебели, предметов интерьера, радиоср-тв, эл. приборов и др. уст-тв, кот. могут быть использованы для размещения закладных уст-тв; Изучение планов обследуемых и смежных помещений и схем коммуникаций; Изучение режима посещения помещения сотрудниками орг-ии и посетителями др. организаций; Установка фактов ремонта, монтажа или демонтажа коммуникаций, замены мебели и др. работ, выполняемых посторонними лицами; Определение (уточнение) методики поискового мероприятия для конкретного помещения; Определение перечня поисковой аппаратуры; Разработка легенды и вариантов поведения, обеспечивающих оперативное прикрытие работы поисковой бригады; Разработка плана активизации злоумышленника и закладных уст-тв; Предварительный осмотр обследуемого и смежных помещений; Разработка плана проведения поисковых мероприятий. В результате совместного прогноза руководителей СБ и поисковой бригады ранжируется перечень источников угроз: спецслужба, конкурент или криминал.

2) этап. Поисковые мероприятия начинаются с изучения оперативной обстановки вокруг и внутри орг-ии, кот. предусматривает: Определение и оперативную разработку пунктов приема сигналов закладных уст-тв; Фиксирование и скрытное наблюдение за подозрительными автомобилями с пассажирами, время приезда и отъезда кот. совпадает с временем пребывания сотрудника, работающего в проверяемом помещении; Контроль радиоэфира.

3) На заключительном этапе поисковых мероприятий готовятся отчетные док-ты со схемами и описанием мест срабатывания аппаратуры, вскрытий участков стен, предметов мебели и интерьера, аппаратуры. Отчет завершается оценкой состояния защищенности инфы и рекомендациями по его усилению.

5. 19. Мероприятия по выявлению каналов утечки инфы. Спец. исследования в области защиты речевой инфы, акустоэл. преобразований и ПЭМИН.

Спец. исследования - выявление с использованием контрольно-измерительной аппаратуры возможных технических каналов утечки защищаемой И, оценка соответствия ЗИ требованиям нормативных док-ов по защите И.

При спец. исследованиях проводятся след-щие виды работ: -спец. исследования ПЭМИН; -дозиметрический контроль с помощью стационарного рентгенографического оборудования; -спец. исследования линий электропередач; -спец. исследования акустических и виброакустических каналов.

Задача поискового мероприятия: з-определение состояния ИБ объекта; -поиск каналов утечки И; -поиск установленных приборов и систем перехвата и передачи И; -выдача рекомендаций по оптимальным способам блокирования каналов утечки

Звукоизоляция направлена на локализацию источников акустических сигналов в замкнутом пространстве внутри контролируемой зоны. Звукоизоляция оценивается величиной ослабления акустической волны.

Использование экранов - Реально достигаемая эфф-ть применения акустического экранирования, применяемого в комплексе со звукопоглощением составляет 8-10 дБ. Действие акустических экранов основано на отражении звуковых волн и образования за экраном области звуковой тени. Наиболее часто используются след-щие виды помех: "белый шум", "речеподобная" помеха.

1) Подготовительный этап: Прогноз вероятного противника и анализ его возможностей; Изучение расположения помещения и его окружения, в кот. могут находиться источники угроз; Определение находящейся в помещении мебели, предметов интерьера, радиоср-тв, эл. приборов и уст-тв, кот. могут быть использованы для размещения закладных уст-тв; Изучение планов обследуемых и смежных помещений и схем коммуникации; Изучение режима посещения помещения сотрудниками и посетителями; Установка фактов ремонта, замены мебели или оборудования; Уточнение методики поискового мероприятия, определение перечня аппаратуры; Разработка легенды и вар-тов проведения, обеспеч-их оперативное прикрытие работы бригады; Разработка плана активизации злоумышленника и закладных уст-тв; Разработка плана проведения поисковых мероприятий.

Задача: создание условий для скрытности работы поисковой бригады. Утечка И о проверке может свести на нет все планы мероприятия. Поисковая аппаратура разделяется на 4 группы: для проверки электронных уст-тв, мебели и предметов, электронных изделий и ограждений.

2) Этап проведения поисковых мероприятий:

Спец. исследования радиоэлектронных ср-тв предусматривают допустимую по условиям эксплуатации разборку и анализ частей с целью выявления признаков внедрения закладных уст-тв. Такими признаками явл-ся следы внезаводского вмешательства в электрическую схему после ее изготовления.

Проверка коммуникаций. Вытягиваются и визуально осматриваются подводящие провода в местах установки коммуникационных изделий, тщательно рассматриваются эл. установочные изделия (розетки, выключатели, осветительные приборы). В случае обнаружения следов вмешательства они снимаются и просвечиваются с помощью рентгеновской установки.

Телефонные линии обычно проверяют до коробки ввода магистрального кабеля в здание. На линии под нагрузкой имитируется разговор, обследуя ее индикатором поля вдоль трассы прокладки линии.

При "чистке" помещения следует иметь в виду также то обстоятельство, что закладные уст-тва в виде электронных стетоскопов могут быть установлены на строительных конструкциях (металлических балках и трубах) за пределами обследуемого помещения, хорошо проводящих на десятки метров звук. В процессе поиска таких закладных уст-тв обращается внимание на такие эл-ты конструкции, проходящие через обследуемое помещение и возможные места установки на них стетоскопов.

3) На заключительном этапе поисковых мероприятий готовятся отчетные док-ты со схемами и описанием мест срабатывания аппаратуры, вскрытий участков стен, предметов мебели и интерьера, аппаратуры. Отчет завершается оценкой состояния защищенности И и рекомендациями по его усилению.

6. 1

Кодирование - преобразование инфы из одного вида в другой, чаще всего, чтобы сделать инфу понятной для машинной обработки.

Шифрование - преобразование инфы с целью сделать ее недоступной для прочтения посторонним, процесс засекречивания.

Шифр в простейшем виде - это преобразование текста с применением ключа шифра на исходный текст для получения шифрованного текса. Простейшие шифры: простая замена (символ исходного текста заменяется другим символом, таблица соответствия символов явл-ся ключом шифра), простая перестановка (буквы переставляются местами в соотв. с определенной таблицей, являющейся ключом), гаммирование (генерация гамма-последовательности с помощью датчика псевдослучайных чисел и наложение полученной гаммы на открытый текст), шифровка по "магическому квадрату". Пример: простая замена-шифр Цезаря - сдвиг внутри алфавита на фиксированный шаг, число, на которое происходит смещение, явл-ся ключом. Подстановочные шифры в настоящее время не используются в криптографии из-за своей малой стойкости.

Для упр-ия шифровкой/дешифровкой используется ключ.

Симметричный шифр использует один ключ для шифрования и дешифрования. +скорость, простота реализации, изученность - проблема обмена ключами.

Бывают блочные (шифруется сразу блок инфы, выдавая шифротекст после получения всех инфы) и поточные шифры (выдает результат по мере шифровки). Поточные более производительны, используются для шифрования речи.

Асимметричный шифр использует два различных ключа. Открытый ключ доступен всем, что позволяет любому зашифровать сообщение. Расшифровать может только нужный человек, владеющий секретный ключом.

Криптографическая стойкость - это способность криптографического алгоритма противостоять возможным атакам. Стойкость шифра - время вскрытия. Если время взлома превышает врамя актуальности ключа, такой алгоритм можно считать стойким. Стойкость нельзя подтвердить. ее можно только опровергнуть взломом. Системы делятся на абсолютно стойкие (обладают доказанной математической стойкостью вне зависимости от ресурсов атакующего) и практически стойкие (имеющие опред. уровень стойкости)

6. 2

Шифр в простейшем виде - это преобразование текста с применением ключа шифра на исходный текст для получения шифрованного текса: замена, перестановка, гаммирование.

Гаммирование - процесс симметричного шифрования, основанный на наложении гамма-послед. на открытый текст.

DES - data encryption standard - симметричный алгоритм шифрования, разработан IBM, утвержден в США в 1977г как официальный стандарт. Расшифрование в DES явл-ся операция обратной шифрованию и выполняется путем повторения операция шифрования в обратной последовательности. - тк техника быстро развилась с 77г оказалось возможным осуществлять исчерпывающий перебор ключей и находить нужный. В США DES сыграл большую роль при формирвоании системы электронных платежей.

ГОСТ 28147-89 - советский стандарт симметричного блочного (данные шифруются порциями одинакового размера) шифрования, введен в 1990г, явл-ся стандартом СНГ. + бесперспективность силовой атаки, эфф-ть реализации и высокое быстродействие, наличие защиты от навязывания ложных данных (имитовставка). Определяет 3 основных режима шифрования: простая замена, гаммирование и гаммирование с обратной связью (позволяет зацепить блоки один за другой и любое изменение в каком-л. месте шифртекста повлечет за собой при расшифровке повреждение инфы во всех послед-их блоках, что легко заметить.

Имитовставка - контрольная комбинация, позволяющая обнаруживать всех случайные или преднамеренные изменения в массиве данных.

6. 3

ЭЦП -- реквизит электронного док-та, предназначенный для защиты данного электронного док-та от подделки, полученный в результате криптографического преобразования инфы с использованием закрытого ключа ЭЦП и позволяющий идент-ть владельца серт-та ключа подписи. ФЗ N63 2011г ЭЦП заменено на ЭП. В России юридически значимый серт-т ЭП выдаёт удостоверяющий центр.

Общепризнанная схема ЦП охватывает три процесса: Генерация ключевой пары. При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соотв. ему открытый ключ. Формирование подписи. Для заданного электронного док-та с помощью закрытого ключа вычисляется подпись. Проверка (верификация) подписи. Для данных док-та и подписи с помощью открытого ключа определяется действительность подписи.

Алгоритмы ЭЦП подразделяются на обычные цифровые подписи и на цифровые подписи с восстановлением док-та. С восстановлением док-та тело док-та восстанавливается автоматически, его не нужно прикреплять к подписи. Обычные цифровые подписи требуют присоединение док-та к подписи. К ЭЦП с восстановлением док-та относится, в частности, RSA.

Цифровая подпись обеспечивает: Удостоверение источника док-та. В зависимости от деталей определения док-та могут быть подписаны такие поля, как "автор", "внесённые изменения", "метка времени" и т. д. Защиту от изменений док-та. При любом случайном или преднамеренном изменении док-та (или подписи) изменится хэш, следовательно, подпись станет недействительной. Невозможность отказа от авторства. Тк создать корректную подпись можно лишь, зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под док-том. Предприятиям и коммерческим орг-иям сдачу финансовой отчетности в гос. учреждения в электронном виде; Организацию юридически значимого электронного док-тооборота;

ГОСТ Р34. 11-94 -- применение схемы эцп на основе этого стандарта обеспечивает защиту передачи сообщения от подделки, искажения и однозначно позволяет доказать подлинность подписи отправителя. Российский криптогр-ий стандарт вычисления хэш-ф-ии (ф-я, кот. из произвольного набора данных формирует данные заданного размера). Разработчик: ГУБС ФАПСИ и ВНИИ Стандартизации

Стандарт определяет алгоритм и процедуру вычисления хеш-ф-ии для последовательности символов. Этот стандарт явл-ся обязательным для применения в качестве алгоритма хеширования в гос. орг-иях РФ и ряде коммерческих организаций.

ЦБ РФ требует использовать ГОСТ Р 34. 11-94 для ЭП предоставляемых ему док-ов.

ГОСТ Р 34. 10-2001 Настоящий стандарт описывает алгоритмы формирования и проверки ЭЦП

6. 4

Криптографическая система (КС) с открытым ключом (или Асимметричное шифрование) -- система шифрования, при которой открытый ключ передаётся по открытому каналу, используется для проверки ЭЦП и для шифрования сообщения. Для генерации ЭЦП и для расшифрования сообщения используется секретный ключ.

Как бы ни были сложны и надежны КС - их слабое место при практической реализации - проблема распределения ключей. Для того, чтобы был возможен обмен конф инфой между двумя субъектами, ключ дб сгенерирован одним из них, а затем каким-то образом опять же в конф-ом порядке передан другому. Т.е. в общем случае для передачи ключа опять же требуется использование какой-то криптосистемы. Для решения этой проблемы были предложены системы с открытым ключом. Суть их состоит в том, что каждым адресатом генерируются два ключа, связанные между собой по опред. правилу. Один ключ объявл-ся открытым, а другой закрытым. Открытый ключ публикуется и доступен любому, кто желает послать сообщение адресату. Секретный ключ сохраняется в тайне. Исходный текст шифруется открытым ключом адресата и передается ему. Зашифрованный текст в принципе не может быть расшифрован тем же открытым ключом. Дешифрование сообщения возможно только с использованием закрытого ключа, кот. известен только самому адресату. Определение закрытого ключа на основе открытого дб невозможным на современном технологическом уровне.

Один из наиболее распространенных - система с открытым ключом - RSA. Криптосистема RSA, разработанная в 1977 году, названа по именам ее создателей R. Rivest, A. Shamir, L. Adleman. Основано на том, что нахождение больших простых чисел в вычислительном отношении осущ-ся легко, но разложение на множители произведения двух таких чисел практически невыполнимо. Доказано, что раскрытие шифра RSA эквивалентно такому разложению.

Алгоритм RSA предполагает, что посланное закодированное сообщение может быть прочитано адресатом и только им. В этом алгоритме используется два ключа - открытый и секретный. Данный алгоритм привлекателен также в случае, когда большое число субъектов (N) должно общаться по схеме все-со-всеми. В случае симметричной схемы шифрования каждый из субъектов каким-то образом должен доставить свои ключи всем остальным участникам обмена, при этом суммарное число используемых ключей будет достаточно велико при большом значении N. Применение асимметричного алгоритма требует лишь рассылки открытых ключей всеми участниками, суммарное число ключей равно N.

Инфраструктура систем с открытым ключом (PKI) -- современная система упр-ия крипт-ой защитой, в тч и в агрессивной среде, например Интернет.

Серт-т -- цифровой или бумажный док-т, подтверждающий соот-ие между открытым ключом и инфой, идент-ей владельца ключа. Серт-ты, как правило, используются для обмена зашифрованными данными в больших сетях/. Но существует проблема подмены открытый ключей, аутентификация пользователя. Идея серт-та -- это наличие третьей стороны, которой доверяют две др. стороны информационного обмена. Т.о., подлог открытого ключа третьей стороны легко выявл-ся. Открытый ключ, подписанный центром серт-ии, называется серт-том открытого ключа. Задачей PKI явл-ся определение политики выпуска цифровых серт-тов, выдача их и аннулирование, хранение инфы, необходимой для последующей проверки правильности серт-тов. Деят-ть инфраструктуры упр-ия открытыми ключами осущ-ся на основе регламента.

Основные компоненты PKI: Удостоверяющий центр (УЦ) обеспечивает связь идентичности субъекта криптографии (обычно имя и какая-то дополнительная инфа) и его открытого ключа.

Регистрационный центр - компонент системы, проверяющий правильность предоставленных субъектом криптографии данных для формирования записи об идентичности. Удостоверяющий центр доверяет регистрационному центру проверку этой инфы.

6. 5

Правила разграничения доступа (ПРД), действующие в ОС, устанавливаются администраторами системы при определении политики безопасности.

Существуют две основные модели разграничения доступа: избирательное (дискреционное) разграничение доступа; полномочное (мандатное) разграничение доступа.

Избирательное разграничение доступа. Система правил избирательного или дискреционного разграничения доступа формулируется след. образом: 1. Для любого объекта операционной системы существует владелец. 2. Владелец объекта может произвольно ограничивать доступ др. субъектов к данному объекту. 3. Для каждой тройки субъект-объект-метод возможность доступа определена однозначно.

Для определения прав доступа субъектов к объектам при избирательном разграничении доступа используется матрица доступа. Строки этой матрицы представляют собой объекты, столбцы - субъекты. В каждой ячейке матрицы хранится совокупность прав доступа, предоставленных данному субъекту на данный объект. Для сокращения объема матрицы доступа используется объединение субъектов доступа в группы. Права, предоставленные группе субъектов для доступа к данному объекту, предоставляются каждому субъекту группы. Избирательное разграничение доступа явл-ся наиболее распространенным механизмом разграничения доступа. + простота реализации, - защищенность операционной системы с избирательным разграничением доступа во многих случаях недостаточна.

2. Изолированная программная среда. Изолированная или замкнутая программная среда представляет собой расширение модели избирательного разграничения доступа. Здесь правила разграничения доступа формулируются след. образом: 1. Для любого объекта ОС существует владелец. 2. Владелец объекта может произвольно ограничивать доступ др. субъектов к данному объекту. 3. Для каждой четверки субъект-объект-метод-процесс возможность доступа определена однозначно. 4. Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу. 5. Для каждого субъекта определен список программ, кот. этот субъект может запускать.

При использовании изолированной программной среды права субъекта на доступ к объекту определяются не только правами и привилегиями субъекта, но и процессом, с помощью кот. субъект обращается к объекту.

+ Изолированная программная среда существенно повышает защищенность ОС. - Изолированная пр. среда не защищает от утечки конф инфы.

3. Полномочное или мандатное разграничение доступа. При этом правила разграничения доступа формулируются след. образом: 1. Для любого объекта ОС существует владелец. 2. Владелец объекта может произвольно ограничивать доступ др. субъектов к данному объекту. 3. Для каждой тройки субъект-объект-метод возможность доступа определена однозначно. 4. Существует хотя бы один привилегированный пользователь (администратор), имеющий возможность удалить любой объект. 5. В множестве объектов доступа ОС выделяется подмножество объектов полномочного разграничения доступа. Каждый объект полномочного разграничения доступа имеет гриф секретности. 6. Каждый субъект доступа имеет уровень допуска. Чем выше числовое значение уровня допуска, тем больший допуск имеет субъект. Если доступ субъекта ниже, чем гриф секретности у объекта, то читать этот субъект данный объект не может. Это - так называемое правило NRU (Not Read Up - не читать выше). Если гриф секретности объекта ниже, чем доступ объекта, то писать в него он не может. Это - так называемое правило NWD (Not Write Down - не записывать ниже).

6. 6

В основе любой системы ЗИ от НСД лежат процессы идентификации пользователей системы, аутентификации пользователей и определения полномочий пользователей.

идентификация - это присвоение объекту или лицу уникального имени или числа (идентификатора).

Аутентификация -- процедура проверки соответствия некоего лица и его учетной записи в компьютерной системе. В простейшем случае проверка происходит с помощью пароля, в более сложном по цифровому серт-ту, смарт-карте или биометрическим данным. АУТЕНТИФИКАЦИЯ заключается в проверке, явл-ся ли проверяемое лицо или объект тем, за кого себя выдает. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации - процедура входа пользователя в систему.

Основные принципы парольной защиты. Паролем называется некот. секретная кодовая последовательность, предъявление которой подтверждает опред. права субъекта вычислительного процесса. Схема опознавания пользователей в системе. Как повысить надежность парольной защиты - менять, сложные, случайные.

Аутентификация по способу "запрос-ответ" обычно используется для взаимного опознания при установлении связи между компьютерами в сети, а также для опознания пользователей-владельцев смарт-карт. Смарт-карты чаще всего используются в автоматических платежных системах. Общая схема аутентификации с нулевым разглашением состоит из последовательных инф-ых обменов (итераций) между двумя участниками процедуры, по завершению которой проверяющий с заданной вероятностью делает правильный вывод об истинности или ложности утверждения.

6. 7

Межсетевой экран-- комплекс аппаратных или программных ср-тв, осущ-ий контроль и фильтрацию проходящих через него сетевых пакетов в соотв. с заданными правилами.

Основной задачей сетевого экрана явл-ся защита комп-ых сетей или отдельных узлов от НСД. Также сетевые экраны часто называют фильтрами Межсетевые экраны (firewall, брандмауэр) делают возможной фильтрацию входящего и исходящего трафика, идущего через систему, устанавливаются в точку стыка между локальным сегментом и сетью Internet. В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

традиционный сетевой (или межсетевой) экран -- программа на шлюзе или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.

персональный сетевой экран -- программа, установленная на ПК и предназначенная для защиты от НСД только этого компьютера.

В зависимости от отслеживания активных соединений сетевые экраны бывают:

-- простая фильтрация, кот. не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

-- фильтрация с учётом контекста, с отслеживанием текущих соединений и пропуском только таких пакетов, кот. удовлетворяют алгоритмам работы соответствующих протоколов и приложений.

Существуют два основных типа межсетевых экранов: Межсетевые экраны прикладного уровня, или прокси-экраны, представляют собой программные пакеты, базирующиеся на операционных системах общего назначения (таких как Windows NT и Unix). При использовании межсетевого экрана прикладного уровня все соединения проходят через него. Межсетевой экран защищает системы от атак, выполняемых поср-твом приложений.

Межсетевые экраны с пакетной фильтрацией могут также быть программными пакетами, базирующимися на операционных системах общего назначения (таких как Windows NT и Unix. Правила политики усиливаются поср-твом использования фильтров пакетов. Если соединении появятся др. пакеты, межсетевой экран прикладного уровня аннулирует или отклонит их, тк они не подходят для данного состояния соединения, даже если соединение разрешено набором правил. При использовании межсетевого экрана с пакетной фильтрацией соединения не прерываются на межсетевом экране, а направляются непосред-но к конечной системе. При поступлении пакетов межсетевой экран выясняет, разрешен ли данный пакет и состояние соединения правилами политики. Если это так, пакет передается по своему маршруту. В противном случае пакет отклоняется или аннулируется. При конфигурировании межсетевого экрана дб выбрана стратегия защиты. Возможны два варианта стратегии защиты: 1) запрещено все, что не разрешено; 2) разрешено все, что не запрещено. Первый вариант стратегии обеспечивает более высокий уровень безопасности, но делает систему менее гибкой.

6. 8

СВТ - ср-ва вычислительной техники АС - автоматизированные системы, МЭ - межсетевые экраны

ФСТЭК явл-ся основным гос. органом в России, курирующем вопросы ЗИ.

РД "Защита от НСД к инфы. Термины и определения" утвержден в 1992 г. Настоящий руководящий док-т устанавливает термины и определения понятий в области защиты СВТ и АС от НСД к инфы.

РД "Концепция защиты СВТ и АС от НСД к инфы", 1992, излагает систему взглядов, основных принципов, кот. закладываются в основу проблемы ЗИ от НСД.

РД "Безопасность инф-ых технологий. Критерии оценки безопасности инф-ых технологий", 19. 06. 02 г. N 187, 2002г. Явл-ся аналогом CommonCriteria (общие критерии), Общие критерии определяют функциональные требования безопасности и требования к адекватности реализации функций безопасности. Настоящий руководящий док-т (РД) содержит систематизированный каталог требований к безопасности инф-ых технологий, порядок и методические рекомендации по его использованию при задании требований, разработке, оценке и серт-ии продуктов и систем инф-ых технологий по требованиям безопасности инфы.

РД "Временное положение по орг-ии разработки, изготовления и эксплуатации программных и ТС ЗИ от НСД в АС и СВТ" утвержден в 1992 г. Настоящее Положение устанавливает единый на территории РФ порядок исследований и разработок в области: ЗИ, обрабатываемой АС различного уровня и назначения, от НСД; создания СВТ общего и спец. назначения, защищенных от утечки, искажения или уничтожения инфы за счет НСД; создания программных и ТС ЗИ от НСД в составе систем защиты секретной инфы в создаваемых АС.

Разработку СВТ могут осуществлять гос предприятия или предприятия, имеющие лицензию. Серт-ию разработанных ср-тв осущ-ют гос. и отраслевые сертификационные центры. Организационно-методическое руководство работами по созданию и эксплуатации СКЗИ, серт-ию СКЗИ, а также контроль за состоянием и развитием этого направления работ осущ-ют Гостехкомиссия России.

Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ выражены в РД Гостехкомиссии РФ "АС. Защита от НСД к инфы. Классификация АС и требования по ЗИ" и "СВТ. Защита от НСД к инфы. Показатели защищенности от НСД к инфы".

-- РД "СВТ" устанавливает классификацию СВТ по уровню защищенности от НСД к инфы на базе перечня показателей защищенности и совокупности описывающих их требований.

РД "АС" устанавливает классификацию АС, подлежащих защите от НСД к инфе, и требования по ЗИ в АС различных классов. При анализе системы защиты внешнего периметра корпоративной сети, в качестве основных критериев используется РД "СВТ. МЭ. Защита от НСД к инфе. Показатели защищенности от НСД к инфе". Утверждено в 1997 г. Данный док-т определяет показатели защищенности МЭ и определяется классификация МЭ. Каждый показатель защищенности представляет собой набор требований безопасности

Проект РД Гостехкомиссии России "Спец. требования и рекомендации по защите конф инфы" (СТР-К), 2001 года, содержит достаточно полный набор требований и рекомендаций организационного уровня по защите речевой инфы, инфы, обрабатываемой СВТ, а также по ЗИ при подключении к сетям общего пользования.

Док-т определяет след-щие основные вопросы ЗИ: • организацию работ по ЗИ; • состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной док-тации по ЗИ; •требования и рекомендации по защите речевой инфы при осуществлении переговоров; •требования и рекомендации по ЗИ при ее автоматизированной обработке и передаче с использованием ТС; •порядок обеспечения ЗИ при эксплуатации объектов информатизации; •особенности ЗИ при разработке и эксплуатации АС.

СТР-К может использоваться при проведении аудита безопасности для оценки полноты и правильности реализации организационных мер ЗИ

РД "Концепция защиты ср-тв вычислительной техники и АС от НСД к инфе" утверждена в 1992 г. излагает систему основных принципов, кот. закладываются в основу проблемы ЗИ от НСД.

РД "Защита от НСД к инфе. Программное обеспечение СрЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей" утверждено в 1999 г. Недекларированные возможности - функциональные возможности ПО, не описанные или не соот-ие описанным в док-тации, при использовании кот. возможно нарушение конф-ти, доступности или целостности обрабатываемой инфы. Настоящий РД устанавливает классификацию ПО СрЗИ (СЗИ). Уровень контроля определяется выполнением заданного настоящим РД набора требований

РД "Безопасность инф-ых технологий. Положение по разработке профилей защиты и заданий по безопасности" 2003 год. РД определяет порядок разработки, оценки, регистрации и публикации профилей защиты. Профиль защиты - это нормативный док-т, предназначенный для изложения проблемы безопасности определенной совокупности продуктов и систем ИТ и формулирования требований безопасности для решении данной проблемы. Профиль защиты разрабатывается для определения типового набора требований безопасности, кот. должны удовлетворять продукты.

РД "Безопасность инф-ых технологий. Руководство по формированию семейств профилей защиты" Гостехкомиссия России, 2003 год. устанавливает порядок формирования семейств профилей защиты для изделий инф-ых технологий.

Оставить комментарий © Copyright Loclay Размещен: 10/02/2014, изменен: 10/02/2014. 367k. Статистика. Статья:		Ваша оценка:
Аннотация: Ответы к вопросам

Loclay : другие произведения.

2012-v02-Программа Государственного Междисциплинарного Экзамена по специальности 090103